Keycloak: org.keycloak.protocol.oidc.grants.ciba: keycloak: information disclosure via cors header injection due to unvalidated jwt azp claim

Een fout is gevonden in Keycloak. Een remote aanvaller kan een Cross-Origin Resource Sharing (CORS) header injection kwetsbaarheid in Keycloak's User-Managed Access (UMA) token endpoint exploiteren. Deze fout treedt op omdat de `azp` claim van een JWT (JSON Web Token) die door een client wordt aangeleverd, wordt gebruikt om de `Access-Control-Allow-Origin` header in te stellen voordat de JWT-handtekening wordt gevalideerd. Wanneer een speciaal gemaakt JWT met een `azp`-waarde die door de aanvaller wordt gecontroleerd, wordt verwerkt, wordt deze waarde weerspiegeld als de CORS-origin, zelfs als de grant later wordt afgewezen. Dit kan leiden tot de blootstelling van low-sensitivity informatie uit autorisatieserver foutreacties, waardoor origin isolatie wordt verzwakt, maar alleen wanneer een doelclient verkeerd is geconfigureerd met `webOrigins: ["*"]`.