Plattform
java
Komponente
keycloak
Behoben in
1.10.0
2.5.4
CVE-2026-37977 describes an Information Disclosure vulnerability discovered in Keycloak. An attacker can exploit a Cross-Origin Resource Sharing (CORS) header injection flaw within the User-Managed Access (UMA) token endpoint. This vulnerability affects Keycloak versions 1.0.0 through 2.5.3 and has been resolved in version 2.5.4.
Eine Cross-Origin Resource Sharing (CORS)-Header-Injektionsschwachstelle wurde im UMA (User-Managed Access)-Token-Endpunkt von Keycloak identifiziert, insbesondere in der Red Hat Build-Version. Ein Remote-Angreifer kann diese Schwachstelle ausnutzen, indem er ein bösartiges JSON Web Token (JWT) erstellt. Das Problem besteht darin, dass der azp-Claim eines vom Client bereitgestellten JWT verwendet wird, um den Access-Control-Allow-Origin-Header vor der Validierung der JWT-Signatur festzulegen. Folglich kann ein Angreifer ein JWT mit einem vom Angreifer kontrollierten azp-Wert bereitstellen, der als CORS-Ursprung widergespiegelt wird, selbst wenn die Signaturvalidierung später fehlschlägt. Dies kann es dem Angreifer ermöglichen, CORS-Beschränkungen zu umgehen und auf geschützte Ressourcen zuzugreifen, was zu Datenverstößen oder unbefugten Aktionen führen kann.
Ein Angreifer kann diese Schwachstelle ausnutzen, indem er ein speziell erstelltes JWT an den Keycloak UMA-Token-Endpunkt sendet. Das JWT würde einen vom Angreifer kontrollierten, bösartigen azp-Claim enthalten. Aufgrund der Schwachstelle wird dieser azp-Wert direkt im Access-Control-Allow-Origin-Header widergespiegelt. Dies ermöglicht es dem Angreifer, Anfragen an geschützte Ressourcen von der im azp-Claim angegebenen Ursprung zu senden und so potenziell beabsichtigte Sicherheitskontrollen zu umgehen. Das Fehlen einer Vorabvalidierung des azp-Claims vor seiner Verwendung im CORS-Header ist die Hauptursache für diese Schwachstelle.
Organizations utilizing Keycloak for authentication and authorization, particularly those relying on User-Managed Access (UMA) and JWT-based authentication, are at risk. Deployments with relaxed CORS policies or those using older, vulnerable versions of Keycloak are especially susceptible.
• java / server:
# Check Keycloak version
java -jar keycloak.jar --version• java / server:
# Examine Keycloak logs for unusual CORS header settings or JWT validation errors.
grep -i 'cors origin' /path/to/keycloak/logs/keycloak.log• generic web:
# Attempt to trigger the vulnerability by sending a crafted JWT with a malicious azp claim.
curl -H "Authorization: Bearer <crafted_jwt>" <keycloak_uma_endpoint>disclosure
Exploit-Status
EPSS
0.01% (1% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abhilfemaßnahme für diese Schwachstelle ist das Upgrade auf Keycloak Red Hat Build Version 2.5.4 oder höher. Diese Version enthält eine Korrektur, die den azp-Claim vor seiner Verwendung zur Konfiguration des Access-Control-Allow-Origin-Headers validiert und so die CORS-Injektion verhindert. Darüber hinaus sollten Sie die CORS-Richtlinien von Keycloak überprüfen und verstärken, um den Zugriff auf geschützte Ressourcen auf vertrauenswürdige Ursprünge zu beschränken. Überwachen Sie regelmäßig die Keycloak-Protokolle auf verdächtige Muster im Zusammenhang mit der JWT-Manipulation, um potenzielle Angriffe zu erkennen und zu verhindern. Ein schnelles Patchen ist entscheidend, um das Risiko einer Ausnutzung zu minimieren.
Actualice Keycloak a la versión 2.5.4 o superior para mitigar la vulnerabilidad. La actualización corrige la validación del claim `azp` en el token JWT, previniendo la inyección de encabezados CORS. Asegúrese de revisar la documentación de Red Hat para obtener instrucciones específicas de actualización para su entorno.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
CORS (Cross-Origin Resource Sharing) ist ein Mechanismus, der steuert, wie Webseiten von einer Origin auf Ressourcen von einer anderen Origin zugreifen können.
Sie ermöglicht es einem Angreifer, CORS-Beschränkungen zu umgehen und potenziell auf sensible Daten zuzugreifen oder unbefugte Aktionen auszuführen.
Implementieren Sie zusätzliche Sicherheitsmaßnahmen, wie z. B. die Stärkung von CORS-Richtlinien und die Überwachung der Keycloak-Protokolle.
Ja, Schwachstellenscanner können dieses Problem erkennen, aber das Patchen auf die korrigierte Version ist die beste Lösung.
Wenn Sie eine Version von Keycloak Red Hat Build vor 2.5.4 verwenden, sind Sie wahrscheinlich betroffen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.