Guanping Zhang

**Nome do Software Vulnerável e Versões Afetadas** Apache CXF versões anteriores a 4.2.2 Apache CXF versões anteriores a 4.1.7 **Description** A classe `JwtAccessTokenValidator` falha ao validar as reivindicações `aud` (Audience) de tokens de acesso JWT recebidos. Esta falha permite que um JWT emitido para um Servidor de Recursos seja replicado contra um Servidor de Recursos completamente diferente, resultando em ataques de Confusão de Token ou Roteamento. **Recommendations** Atualize para a versão 4.2.2. Atualize para a versão 4.1.7.

**Nome do Software Vulnerável e Versões Afetadas** Keycloak (versões afetadas não especificadas) **Descrição** O analisador do cabeçalho Authorization do Keycloak é excessivamente permissivo em relação ao formato do esquema de autenticação "Bearer". Ele aceita caracteres não padrão, como tabulações, como separadores e tolera variações de caixa que se desviam das especificações da RFC 6750. Isso pode potencialmente levar a uma contornação do controle de segurança. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.