Keycloak: org.keycloak.protocol.oidc.grants.ciba: keycloak: 無効化されていない jwt azp クレームによる CORS ヘッダーインジェクションによる情報漏えい

Keycloak には欠陥が見つかりました。リモートの攻撃者は、Keycloak の User-Managed Access (UMA) トークンエンドポイントにおける Cross-Origin Resource Sharing (CORS) ヘッダーインジェクションの脆弱性を悪用できます。この欠陥は、クライアントが提供する JSON Web Token (JWT) の `azp` クレームが、JWT の署名検証前に `Access-Control-Allow-Origin` ヘッダーを設定するために使用されるため発生します。特別に細工された `azp` 値を持つ JWT が処理されると、この値が CORS のオリジンとして反映されます。これにより、認可サーバーのエラー応答から低機密性の情報が公開され、オリジンの分離が弱まります。ただし、これはターゲットクライアントが `webOrigins: ["*"]` で誤設定されている場合にのみ発生します。