CVE-2026-0707:Keycloak存在错误的行为顺序——在解析和规范化之前进行授权
漏洞详情
严重性等级:中等
CVSS总分:5.3/10
受影响版本
受影响的软件包:maven:org.keycloak:keycloak-parent
受影响版本:<= 26.5.0
已修复版本:无
漏洞描述
在Keycloak中发现一个缺陷。Keycloak的Authorization头部解析器对"Bearer"认证方案的格式处理过于宽松。它接受非标准字符(如制表符)作为分隔符,并容忍偏离RFC 6750规范的字符大小写变化。
安全弱点
CWE-551:错误的行为顺序——在解析和规范化之前进行授权
如果Web服务器在检查URL授权之前未完全解析请求的URL,攻击者可能能够绕过授权保护。
CVSS v3基础指标
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 范围:未改变
- 机密性影响:无
- 完整性影响:低
- 可用性影响:无
CVSS向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
相关参考
- https://nvd.nist.gov/vuln/detail/CVE-2026-0707
- https://access.redhat.com/security/cve/CVE-2026-0707
- https://bugzilla.redhat.com/show_bug.cgi?id=2427768
时间线
- 国家漏洞数据库发布日期:2026年1月8日
- GitHub咨询数据库发布日期:2026年1月8日
- 审核日期:2026年1月8日
- 最后更新日期:2026年1月8日
源代码
存储库:keycloak/keycloak
其他标识符
- CVE ID:CVE-2026-0707
- GHSA ID:GHSA-gv94-wp4h-vv8p
漏洞利用预测评分系统(EPSS)
分数:0.044%(第14百分位数)
此分数估计此漏洞在未来30天内被利用的概率。数据由FIRST提供。