CVE-2026-16093 in Keycloak
Sumário
de VulDB • 17/07/2026
O Keycloak fornece um mecanismo chamado Client Policies para impor requisitos de segurança aos clientes, como exigir que utilizem JWTs assinados para autenticação. Foi descoberto uma falha onde essa imposição pode ser contornada. Um atacante com credenciais válidas do cliente pode fornecer um cabeçalho de asserção falso e não assinado que engana o sistema fazendo-o acreditar que os requisitos da política foram atendidos. Isso permite ao atacante autenticar-se usando métodos mais simples, como segredo do cliente (client secret), mesmo quando o administrador exigiu asserções mais seguras e assinadas.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.