Platform
java
Component
keycloak
Opgelost in
1.10.0
2.5.4
Een kwetsbaarheid is ontdekt in Keycloak, specifiek in het User-Managed Access (UMA) token endpoint. Deze kwetsbaarheid, een Cross-Origin Resource Sharing (CORS) header injectie, stelt een externe aanvaller in staat om low-sensitivity informatie te onthullen. De kwetsbaarheid treft Keycloak versies van 1.0.0 tot en met 2.5.3, en er is een patch beschikbaar in versie 2.5.4.
Er is een Cross-Origin Resource Sharing (CORS)-header injectie kwetsbaarheid geïdentificeerd in het UMA (User-Managed Access) token endpoint van Keycloak, specifiek in de Red Hat Build versie. Een externe aanvaller kan deze kwetsbaarheid misbruiken door een kwaadwillig JSON Web Token (JWT) te creëren. Het probleem is dat de azp claim van een JWT die door de client wordt geleverd, wordt gebruikt om de Access-Control-Allow-Origin header in te stellen voordat de JWT-handtekening wordt gevalideerd. Hierdoor kan een aanvaller een JWT aanleveren met een door hem gecontroleerde azp waarde, die als de CORS-oorsprong wordt weergegeven, zelfs als de handtekeningvalidatie later mislukt. Dit kan de aanvaller in staat stellen CORS-beperkingen te omzeilen en toegang te krijgen tot beschermde resources, wat kan leiden tot datalekken of ongeautoriseerde acties.
Een aanvaller kan deze kwetsbaarheid misbruiken door een speciaal gemaakt JWT naar het Keycloak UMA-token endpoint te sturen. Het JWT zou een kwaadwillige azp claim bevatten die door de aanvaller wordt gecontroleerd. Vanwege de kwetsbaarheid wordt deze azp waarde direct weergegeven in de Access-Control-Allow-Origin header. Dit stelt de aanvaller in staat om verzoeken te doen naar beschermde resources vanaf de oorsprong die is gespecificeerd in de azp claim, waardoor beoogde beveiligingscontroles mogelijk worden omzeild. Het ontbreken van een voorafgaande validatie van de azp claim voordat deze in de CORS-header wordt gebruikt, is de hoofdoorzaak van deze kwetsbaarheid.
Organizations utilizing Keycloak for authentication and authorization, particularly those relying on User-Managed Access (UMA) and JWT-based authentication, are at risk. Deployments with relaxed CORS policies or those using older, vulnerable versions of Keycloak are especially susceptible.
• java / server:
# Check Keycloak version
java -jar keycloak.jar --version• java / server:
# Examine Keycloak logs for unusual CORS header settings or JWT validation errors.
grep -i 'cors origin' /path/to/keycloak/logs/keycloak.log• generic web:
# Attempt to trigger the vulnerability by sending a crafted JWT with a malicious azp claim.
curl -H "Authorization: Bearer <crafted_jwt>" <keycloak_uma_endpoint>disclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor deze kwetsbaarheid is het upgraden naar Keycloak Red Hat Build versie 2.5.4 of hoger. Deze versie bevat een correctie die de azp claim valideert voordat deze wordt gebruikt om de Access-Control-Allow-Origin header in te stellen, waardoor de CORS-injectie wordt voorkomen. Daarnaast dient u de CORS-beleidsregels van Keycloak te beoordelen en te versterken om de toegang tot beschermde resources te beperken tot vertrouwde oorsprongen. Controleer regelmatig de Keycloak-logboeken op verdachte patronen in verband met JWT-manipulatie om potentiële aanvallen te detecteren en te voorkomen. Een snelle patch is cruciaal om het risico op misbruik te minimaliseren.
Actualice Keycloak a la versión 2.5.4 o superior para mitigar la vulnerabilidad. La actualización corrige la validación del claim `azp` en el token JWT, previniendo la inyección de encabezados CORS. Asegúrese de revisar la documentación de Red Hat para obtener instrucciones específicas de actualización para su entorno.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CORS (Cross-Origin Resource Sharing) is een mechanisme dat controleert hoe webpagina's van één oorsprong toegang krijgen tot resources van een andere oorsprong.
Het stelt een aanvaller in staat om CORS-beperkingen te omzeilen en mogelijk gevoelige gegevens te openen of ongeautoriseerde acties uit te voeren.
Implementeer aanvullende beveiligingsmaatregelen, zoals het versterken van CORS-beleidsregels en het bewaken van Keycloak-logboeken.
Ja, kwetsbaarheidsscanners kunnen dit probleem detecteren, maar het patchen naar de gecorrigeerde versie is de beste oplossing.
Als u een versie van Keycloak Red Hat Build gebruikt die vóór 2.5.4 is uitgebracht, is de kans groot dat u getroffen bent.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.