Keycloak: org.keycloak.protocol.oidc.grants.ciba: keycloak: information disclosure via cors header injection due to unvalidated jwt azp claim

Uma falha foi encontrada em Keycloak. Um atacante remoto pode explorar uma vulnerabilidade de injeção de cabeçalho Cross-Origin Resource Sharing (CORS) no endpoint de token de acesso do Keycloak User-Managed Access (UMA). Esta falha ocorre porque a declaração `azp` de um JSON Web Token (JWT) fornecido pelo cliente é usada para definir o cabeçalho `Access-Control-Allow-Origin` antes que a assinatura do JWT seja validada. Quando um JWT especialmente criado com um valor `azp` controlado pelo atacante é processado, este valor é refletido como a origem CORS, mesmo que a concessão seja posteriormente rejeitada. Isso pode levar à exposição de informações de baixa sensibilidade das respostas de erro do servidor de autorização, enfraquecendo o isolamento de origem, mas apenas quando um cliente de destino está mal configurado com `webOrigins: ["*"]`.