Keycloak: org.keycloak.protocol.oidc.grants.ciba: keycloak: Informationsfreigabe über CORS-Header-Injektion aufgrund eines nicht validierten jwt azp-Claims

Ein Fehler wurde in Keycloak gefunden. Ein Remote-Angreifer kann eine Cross-Origin Resource Sharing (CORS)-Header-Injektionsschwachstelle im User-Managed Access (UMA)-Token-Endpunkt von Keycloak ausnutzen. Dieser Fehler tritt auf, weil der `azp`-Claim aus einem vom Client bereitgestellten JSON Web Token (JWT) verwendet wird, um den `Access-Control-Allow-Origin`-Header festzulegen, bevor die JWT-Signatur validiert wird. Wenn ein speziell gestaltetes JWT mit einem vom Angreifer kontrollierten `azp`-Wert verarbeitet wird, wird dieser Wert als CORS-Ursprung widergespiegelt, auch wenn das Grant später abgelehnt wird. Dies kann zur Offenlegung von niedrigsensiblen Informationen aus Authorization-Server-Fehlerantworten führen, wodurch die Ursprungsisolation geschwächt wird, jedoch nur, wenn ein Zielclient falsch mit `webOrigins: ["*"]` konfiguriert ist.