CVE-2026-37977 in Keycloakinformação

Sumário

de VulDB • 22/05/2026

Foi encontrada uma falha no Keycloak. Um atacante remoto pode explorar uma vulnerabilidade de injeção de cabeçalho Cross-Origin Resource Sharing (CORS) no endpoint de token de Acesso Gerenciado pelo Usuário (UMA) do Keycloak. Essa falha ocorre porque a declaração `azp` de um JSON Web Token (JWT) fornecido pelo cliente é usada para definir o cabeçalho `Access-Control-Allow-Origin` antes que a assinatura do JWT seja validada. Quando um JWT especialmente elaborado com um valor `azp` controlado pelo atacante é processado, esse valor é refletido como a origem CORS, mesmo que a concessão seja rejeitada posteriormente. Isso pode levar à exposição de informações de baixa sensibilidade nas respostas de erro do servidor de autorização, enfraquecendo o isolamento de origem, mas apenas quando um cliente alvo estiver mal configurado com `webOrigins: ["*"]`.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Redhat

Reservar

06/04/2026

Divulgação

06/04/2026

Moderação

aceite

Entrada

VDB-355502

CPE

pronto

EPSS

0.00009

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-37977
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-37977
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-37977/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!