Keycloak JWT访问令牌组织声明越权漏洞修复

Keycloak 漏洞总结：JWT 访问令牌中错误的组织声明分配 漏洞概述 标题：Wrong organization claim assignment in JWT access token #37169 状态：已关闭 (Closed) 严重程度：Bug (kind/bug) 影响版本：release/26.0.10, release/26.1.3, release/26.2.2 问题描述： 当创建一个用户，其邮箱域名与某个已存在的组织（Organization）的域名匹配，但该用户实际上并未被分配到任何组织时，Keycloak 会在生成的 JWT 访问令牌中错误地包含该组织的 声明。 预期行为： 用户如果没有被分配到任何组织，其访问令牌中不应包含 声明，即使其邮箱域名与某个组织的域名相同。 实际行为： 未分配任何组织的用户，其访问令牌中却包含了真实的组织数据。 影响范围 涉及 Keycloak 的 Organizations 功能。 影响使用 Client Scopes 和 Organization Membership Mapper 生成 JWT 令牌的客户端。 可能导致未授权用户被错误地识别为特定组织的成员，从而获得不该有的访问权限。 修复方案 该问题已在后续版本中修复。根据页面底部的提交记录，修复涉及以下提交： 这些提交主要修改了逻辑，确保只有在用户重新认证且确实是映射组织成员时，才将组织信息设置到客户端会话中。 复现步骤 (POC) 以下是根据截图整理的复现步骤，展示了漏洞的配置和利用过程： 1. 创建 Realm 并启用 Organizations。 2. 设置用户名 为邮箱。 3. 修改客户端作用域 (Client Scope)： 在客户端作用域设置中，将 设置为默认 (Default)。 进入 作用域的 Mappers 设置。 Before (漏洞配置): Claim JSON Type: Multivalued: Add organization attributes: Add organization id: After (修复后配置): Claim JSON Type: Multivalued: Add organization attributes: Add organization id: 4. 创建客户端 并启用上述作用域。 5. 创建组织： 组织 ，域名 组织 ，域名 6. 创建用户： 创建用户 。 关键点：该用户未分配到任何组织（尽管其邮箱域名 与组织 匹配）。 7. 登录应用并获取令牌： 使用 用户登录。 获取 JWT 访问令牌。 漏洞利用结果 (Token Payload)： 在未修复的情况下，令牌中包含错误的组织声明： 评估工具验证： 页面中还提到，使用 Keycloak 自带的评估工具 (Evaluation tool) 可以正确工作，表明问题可能出在特定的 Mapper 配置或令牌生成逻辑上，而非基础的组织判断逻辑。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

Keycloak JWT访问令牌组织声明越权漏洞修复

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Keycloak JWT访问令牌组织声明越权漏洞修复

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！