Обход принятия межобластного токена в компоненте KeycloakSecurityPolicy Apache Camel Keycloak. Camel-Keycloak KeycloakSecurityPolicy не проверяет утверждение iss (эмитента) токенов JWT на соответствие настроенной области. Токен, выданный одной областью Keycloak, автоматически принимается политикой, настроенной для совершенно другой области, что нарушает изоляцию арендатора.
Эта проблема затрагивает Apache Camel: с версии 4.15.0 до 4.18.0. Пользователям рекомендуется выполнить обновление до версии 4.18.0, которая устраняет проблему.
Показать оригинальное описание (EN)
Cross-Realm Token Acceptance Bypass in KeycloakSecurityPolicy Apache Camel Keycloak component. The Camel-Keycloak KeycloakSecurityPolicy does not validate the iss (issuer) claim of JWT tokens against the configured realm. A token issued by one Keycloak realm is silently accepted by a policy configured for a completely different realm, breaking tenant isolation. This issue affects Apache Camel: from 4.15.0 before 4.18.0. Users are recommended to upgrade to version 4.18.0, which fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1