CVE-2026-23552
KrytyczneStreszczenie
W komponentach Keycloak Apache Camel występuje luka, która pozwala na obejście walidacji roszczenia iss (issuer) w tokenach JWT. Token wydany przez jeden realm Keycloak jest akceptowany przez politykę skonfigurowaną dla zupełnie innego realm, co narusza izolację najemców.
Ocena ryzyka
Luka ta może prowadzić do nieautoryzowanego dostępu do zasobów w różnych realmach, co zagraża bezpieczeństwu danych i izolacji użytkowników w organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 4.18.0, która naprawia tę lukę.
Oryginalny opis (angielski, źródło NVD)
Cross-Realm Token Acceptance Bypass in KeycloakSecurityPolicy Apache Camel Keycloak component. The Camel-Keycloak KeycloakSecurityPolicy does not validate the iss (issuer) claim of JWT tokens against the configured realm. A token issued by one Keycloak realm is silently accepted by a policy configured for a completely different realm, breaking tenant isolation. This issue affects Apache Camel: from 4.15.0 before 4.18.0. Users are recommended to upgrade to version 4.18.0, which fixes the issue.

