CVE-2026-37977: Info Disclosure en Keycloak v1.0–2.5.3
Plataforma
java
Componente
keycloak
Corregido en
2.5.4
Se ha encontrado una vulnerabilidad de divulgación de información en Keycloak. Un atacante remoto puede explotar una vulnerabilidad de inyección de encabezado CORS (Cross-Origin Resource Sharing) en el endpoint de token de acceso gestionado por el usuario (UMA). Esta falla ocurre porque el valor `azp` de un JWT suministrado por el cliente se utiliza para establecer el encabezado `Access-Control-Allow-Origin` antes de validar la firma del JWT.
Cómo corregirlo
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Preguntas frecuentes
¿Qué es CVE-2026-37977?
Es una vulnerabilidad de divulgación de información en Keycloak que permite la exposición de información sensible a través de la manipulación de encabezados CORS.
¿Estoy afectado?
Si está utilizando Keycloak en la versión 1.0 a 2.5.3, es probable que esté afectado.
¿Cómo puedo solucionarlo?
Actualice a la versión 2.5.4 o superior de Keycloak para corregir esta vulnerabilidad.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis