PT-2026-20652 · Apache+1 · Apache Camel+1
Andrea Cosentino
·
Publicado
2026-02-19
·
Atualizado
2026-02-28
·
CVE-2026-23552
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Apache Camel de 4.15.0 a 4.17.9
Descrição
A KeycloakSecurityPolicy do Camel-Keycloak não valida a claim
iss (emissor) dos tokens JWT em relação ao realm configurado. Isso permite que um token emitido por um realm do Keycloak seja aceito silenciosamente por uma política configurada para um realm diferente, o que quebra o isolamento de tenant. A claim iss identifica o emissor do JWT.Recomendações
Atualize para a versão 4.18.0 para resolver este problema.
Exploit
Correção
Origin Validation Error
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Camel
Keycloak