Keycloak: org.keycloak.protocol.oidc.grants.ciba: keycloak: 由于未验证的 jwt azp claim，通过 cors header 注入导致信息泄露

在 Keycloak 中发现了一个漏洞。远程攻击者可以利用 Keycloak 用户管理访问 (UMA) token 端点中的跨域资源共享 (CORS) header 注入漏洞。此漏洞是由于 JWT 中客户端提供的 `azp` claim 用于设置 `Access-Control-Allow-Origin` header，而 JWT 签名在验证之前就已经发生了。当处理具有攻击者控制的 `azp` 值的精心制作的 JWT 时，该值会作为 CORS origin 反映，即使后续授予被拒绝。这可能导致授权服务器错误响应中低敏感信息泄露，削弱 origin 隔离，但仅当目标客户端配置错误，`webOrigins: ["*"]` 时才会发生。