Gwthr

**Nome do Software Vulnerável e Versões Afetadas** Keycloak (versões afetadas não especificadas) **Descrição** Existe uma falha no mecanismo de registro de token de convite do Keycloak. O servidor não verifica a assinatura criptográfica do JSON Web Token (JWT). Um atacante pode modificar o ID da organização (`org id`) e o e-mail de destino no payload do JWT de um token de convite legítimo para registrar uma conta em uma organização não autorizada. Isso pode levar a acesso não autorizado, contornando o processo de cadastro somente por convite, acesso a recursos por meio de Login Único (SSO) e potencial escalonamento de privilégios por meio de Controle de Acesso Baseado em Funções (RBAC). **Recomendações** Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.