LOWCVE-2026-37977CVSS 3.7

Keycloak CVE-2026-37977: CORS情報漏洩脆弱性 – 2.5.3まで影響

プラットフォーム

java

コンポーネント

keycloak

修正版

1.10.0

2.5.4

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

Keycloakにおいて、クロスオリジンリソース共有（CORS）ヘッダーインジェクションの脆弱性が発見されました。この脆弱性は、攻撃者がJWTのazpクレームを操作することで、意図しないCORS originを設定し、機密情報へのアクセスを試みることを可能にします。影響を受けるバージョンはKeycloak 1.0.0から2.5.3です。現在、この脆弱性は2.5.4で修正されています。

影響と攻撃シナリオ

KeycloakのUMA（User-Managed Access）トークンエンドポイントにおいて、Cross-Origin Resource Sharing (CORS) ヘッダーインジェクションの脆弱性が確認されました。特にRed Hat Build版に該当します。攻撃者は、悪意のあるJSON Web Token (JWT) を作成することで、この脆弱性を悪用できます。問題点は、クライアントから提供されたJWTのazpクレームが、JWTの署名検証を行う前に、Access-Control-Allow-Originヘッダーを設定するために使用されることです。その結果、攻撃者は、自身が制御できるazp値を持つJWTを提供することができ、その値が署名検証が後で失敗した場合でも、CORSのオリジンとして反映されます。これにより、攻撃者はCORSの制限を回避し、保護されたリソースにアクセスできる可能性があり、データ侵害や不正なアクションにつながる可能性があります。

悪用の状況

攻撃者は、特別に作成されたJWTをKeycloak UMAトークンエンドポイントに送信することで、この脆弱性を悪用できます。JWTには、攻撃者が制御する悪意のあるazpクレームが含まれます。脆弱性により、このazp値が直接Access-Control-Allow-Originヘッダーに反映されます。これにより、攻撃者はazpクレームで指定されたオリジンから保護されたリソースへのリクエストを送信でき、意図されたセキュリティコントロールを回避する可能性があります。CORSヘッダーの使用前にazpクレームを事前に検証しないことが、この脆弱性の根本原因です。

リスク対象者翻訳中…

Organizations utilizing Keycloak for authentication and authorization, particularly those relying on User-Managed Access (UMA) and JWT-based authentication, are at risk. Deployments with relaxed CORS policies or those using older, vulnerable versions of Keycloak are especially susceptible.

検出手順翻訳中…

• java / server:

# Check Keycloak version
java -jar keycloak.jar --version

• java / server:

# Examine Keycloak logs for unusual CORS header settings or JWT validation errors.
grep -i 'cors origin' /path/to/keycloak/logs/keycloak.log

• generic web:

# Attempt to trigger the vulnerability by sending a crafted JWT with a malicious azp claim.
curl -H "Authorization: Bearer <crafted_jwt>" <keycloak_uma_endpoint>

攻撃タイムライン

2026-04-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.01% (1% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントkeycloak

ベンダーRed Hat

影響範囲修正版

1.0.0 – 1.9.91.10.0

2.0.0 – 2.5.32.5.4

弱点分類 (CWE)

CWE-346

タイムライン

予約済み2026-04-06
公開日2026-04-06
更新日2026-04-24
EPSS 更新日2026-04-13

緩和策と回避策

この脆弱性に対する主な軽減策は、Keycloak Red Hat Buildをバージョン2.5.4以降にアップグレードすることです。このバージョンには、azpクレームをAccess-Control-Allow-Originヘッダーを設定する前に検証する修正が含まれており、CORSインジェクションを防ぎます。さらに、KeycloakのCORSポリシーを見直し、強化して、保護されたリソースへのアクセスを信頼できるオリジンに制限することをお勧めします。Keycloakのログを定期的に監視して、JWTの操作に関連する疑わしいパターンを検出し、潜在的な攻撃を防止することが重要です。迅速なパッチ適用が、悪用のリスクを最小限に抑えるために不可欠です。

修正方法翻訳中…

Actualice Keycloak a la versión 2.5.4 o superior para mitigar la vulnerabilidad.  La actualización corrige la validación del claim `azp` en el token JWT, previniendo la inyección de encabezados CORS.  Asegúrese de revisar la documentación de Red Hat para obtener instrucciones específicas de actualización para su entorno.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-37977 とは何ですか？（Keycloak の Information Disclosure）

CORS（Cross-Origin Resource Sharing）は、あるオリジンからのWebページが、別のオリジンからのリソースにアクセスする方法を制御するメカニズムです。

Keycloak の CVE-2026-37977 による影響を受けていますか？

これにより、攻撃者はCORSの制限を回避し、機密データにアクセスしたり、不正なアクションを実行したりする可能性があります。

Keycloak の CVE-2026-37977 を修正するにはどうすればよいですか？

CORSポリシーを強化したり、Keycloakログを監視したりするなど、追加のセキュリティ対策を実装してください。

CVE-2026-37977 は積極的に悪用されていますか？

はい、脆弱性スキャナはこの問題を検出できますが、修正されたバージョンにパッチを適用するのが最良の解決策です。

CVE-2026-37977 に関する Keycloak の公式アドバイザリはどこで確認できますか？

Keycloak Red Hat Buildのバージョン2.5.4より前のバージョンを使用している場合は、影響を受けている可能性が高いです。