Keycloak: org.keycloak.protocol.oidc.grants.ciba: keycloak: 由于未验证的 jwt azp claim，通过 cors header 注入导致信息泄露

在Keycloak的UMA（User-Managed Access）令牌端点发现了一种跨域资源共享（CORS）头注入漏洞，尤其是在Red Hat Build版本中。攻击者可以通过创建恶意的JSON Web Token（JWT）来利用此漏洞。问题在于，客户端提供的JWT中的azp声明在JWT签名验证之前被用来设置Access-Control-Allow-Origin头。因此，攻击者可以提供一个具有攻击者控制的azp值的JWT，该值即使签名验证后续失败，也会作为CORS源反映。这使得攻击者有可能绕过CORS限制并访问受保护的资源，从而导致数据泄露或未经授权的操作。

Organizations utilizing Keycloak for authentication and authorization, particularly those relying on User-Managed Access (UMA) and JWT-based authentication, are at risk. Deployments with relaxed CORS policies or those using older, vulnerable versions of Keycloak are especially susceptible.

• java / server:

# Check Keycloak version
java -jar keycloak.jar --version

• java / server:

# Examine Keycloak logs for unusual CORS header settings or JWT validation errors.
grep -i 'cors origin' /path/to/keycloak/logs/keycloak.log

• generic web:

# Attempt to trigger the vulnerability by sending a crafted JWT with a malicious azp claim.
curl -H "Authorization: Bearer <crafted_jwt>" <keycloak_uma_endpoint>

1. 2026-04-06Disclosure

   disclosure

1. 已保留2026-04-06
2. 发布日期2026-04-06
3. 修改日期2026-04-24
4. EPSS 更新日期2026-04-13

此漏洞的主要缓解措施是将Keycloak Red Hat Build升级到版本2.5.4或更高版本。此版本包含一个修复程序，该程序在将azp声明用于配置Access-Control-Allow-Origin头之前对其进行验证，从而防止CORS注入。此外，建议审查和加强Keycloak的CORS策略，以仅将受保护的资源访问限制到受信任的源。定期监控Keycloak日志中与JWT操作相关的可疑模式，以检测和防止潜在攻击至关重要。及时应用补丁对于最大限度地减少利用风险至关重要。