漏洞概述 漏洞名称: CVE-2026-9793 漏洞描述: 在Keycloak中,当提交JSON Web Encryption (JWE)加密的请求对象时,如果解密后的内容是原始JSON,Keycloak可能会错误地处理未签名的声明,从而绕过配置的签名策略。这允许远程攻击者提交未授权的声明,导致OpenID Connect (OIDC)授权流程中的数据完整性受损。虽然重定向URI白名单可以作为补偿控制,但此漏洞违反了OIDC Core和Financial-grade API (FAPI)的签名要求。 影响范围 产品: Security Response 组件: vulnerability 版本: 未指定 硬件: 所有 操作系统: Linux 优先级: 中等 严重程度: 中等 修复方案 报告日期: 2026-05-28 03:15 UTC by OSIDB Bzimport 修改日期: 2026-05-28 03:40 UTC 修复版本: 未指定 关闭日期: 未指定 最后关闭: 未指定 环境: 未指定 Embargoed: 未指定 附加信息 关键词: Security 状态: NEW 别名: CVE-2026-9793 目标里程碑: --- 分配给: Product Security DevOps Team QA联系人: 未指定 文档联系人: 未指定 URL: 未指定 白板: 未指定 依赖项: 未指定 阻塞项: 未指定 Tree/View: 取决于on / Stocked 附件 附件: 未指定 条款使用: 未指定 备注 需要登录才能在此bug上发表评论或进行更改。 代码块 页面中未包含POC代码或利用代码。