Plateforme
java
Composant
keycloak
Corrigé dans
1.10.0
2.5.4
Une vulnérabilité de divulgation d'informations a été découverte dans Keycloak, affectant la gestion des accès utilisateur (UMA). Un attaquant distant peut exploiter une injection d'en-tête Cross-Origin Resource Sharing (CORS) via le point de terminaison de jeton UMA. Cette faille est due à l'utilisation de la revendication azp d'un JWT fourni par le client pour définir l'en-tête Access-Control-Allow-Origin avant la validation de la signature du JWT. Les versions concernées sont celles inférieures ou égales à 26.5.7. Une correction est disponible dans la version 2.5.4.
Une vulnérabilité d'injection d'en-tête CORS (Cross-Origin Resource Sharing) a été identifiée dans le point de terminaison de jetons UMA (User-Managed Access) de Keycloak, spécifiquement dans la version Red Hat Build. Un attaquant distant peut exploiter cette faille en créant un jeton JWT (JSON Web Token) malveillant. Le problème réside dans le fait que le claim azp d'un JWT fourni par le client est utilisé pour définir l'en-tête Access-Control-Allow-Origin avant la validation de la signature du JWT. Par conséquent, un attaquant peut fournir un JWT avec une valeur azp fabriquée, qui sera reflétée en tant qu'origine CORS, même si la validation de la signature échoue par la suite. Cela peut permettre à l'attaquant de contourner les restrictions CORS et d'accéder à des ressources protégées, entraînant des violations de données ou des actions non autorisées.
Un attaquant peut exploiter cette vulnérabilité en envoyant un JWT spécialement créé au point de terminaison de jeton UMA de Keycloak. Le JWT contiendrait un claim azp malveillant contrôlé par l'attaquant. En raison de la vulnérabilité, cette valeur azp est directement reflétée dans l'en-tête Access-Control-Allow-Origin. Cela permet à l'attaquant de faire des requêtes vers des ressources protégées à partir de l'origine spécifiée dans le claim azp, contournant potentiellement les contrôles de sécurité prévus. L'absence de pré-validation du claim azp avant son utilisation dans l'en-tête CORS est la cause première de cette vulnérabilité.
Organizations utilizing Keycloak for authentication and authorization, particularly those relying on User-Managed Access (UMA) and JWT-based authentication, are at risk. Deployments with relaxed CORS policies or those using older, vulnerable versions of Keycloak are especially susceptible.
• java / server:
# Check Keycloak version
java -jar keycloak.jar --version• java / server:
# Examine Keycloak logs for unusual CORS header settings or JWT validation errors.
grep -i 'cors origin' /path/to/keycloak/logs/keycloak.log• generic web:
# Attempt to trigger the vulnerability by sending a crafted JWT with a malicious azp claim.
curl -H "Authorization: Bearer <crafted_jwt>" <keycloak_uma_endpoint>disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
L'atténuation principale de cette vulnérabilité est de mettre à niveau vers la version 2.5.4 ou ultérieure de Keycloak Red Hat Build. Cette version inclut une correction qui valide le claim azp avant de l'utiliser pour configurer l'en-tête Access-Control-Allow-Origin, empêchant ainsi l'injection de CORS. De plus, examinez et renforcez les politiques CORS de Keycloak pour restreindre l'accès aux ressources protégées aux origines de confiance uniquement. Surveillez régulièrement les journaux de Keycloak à la recherche de schémas suspects liés à la manipulation de JWT pour détecter et prévenir les attaques potentielles. L'application rapide de la mise à jour est essentielle pour minimiser le risque d'exploitation.
Actualice Keycloak a la versión 2.5.4 o superior para mitigar la vulnerabilidad. La actualización corrige la validación del claim `azp` en el token JWT, previniendo la inyección de encabezados CORS. Asegúrese de revisar la documentación de Red Hat para obtener instrucciones específicas de actualización para su entorno.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CORS (Cross-Origin Resource Sharing) est un mécanisme qui contrôle la manière dont les pages web d'une origine peuvent accéder aux ressources d'une origine différente.
Elle permet à un attaquant de contourner les restrictions CORS et d'accéder potentiellement à des données sensibles ou d'effectuer des actions non autorisées.
Mettez en œuvre des mesures de sécurité supplémentaires, telles que le renforcement des politiques CORS et la surveillance des journaux de Keycloak.
Oui, les scanners de vulnérabilité peuvent détecter ce problème, mais la correction vers la version corrigée est la meilleure solution.
Si vous utilisez une version de Keycloak Red Hat Build antérieure à 2.5.4, vous êtes probablement affecté.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.