CVE-2026-9793

Nome do Software Vulnerável e Versões Afetadas Keycloak (versões afetadas não especificadas)

Descrição Existe uma falha onde o Keycloak pode processar incorretamente reivindicações (claims) não assinadas quando um objeto de requisição criptografado via JSON Web Encryption (JWE) é enviado, desde que o conteúdo descriptografado seja JSON puro. Este comportamento ignora a política de assinatura configurada, permitindo que um invasor remoto envie reivindicações não autorizadas e comprometa a integridade dos dados dentro do fluxo de autorização OpenID Connect (OIDC). Este problema viola os requisitos de assinatura do OIDC Core e da Financial-grade API (FAPI), embora uma lista de permissões de URI de redirecionamento sirva como um controle compensatório.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.