CRITICAL🇬🇧 English

CVE-2026-23552

Apache Camel: pominięcie weryfikacji issuer JWT w KeycloakSecurityPolicy

CVSS 9.1v3.1pub. 2026-02-23upd. 2026-02-26

Komponent Camel-Keycloak nie weryfikuje pola 'iss' (issuer) w tokenach JWT względem skonfigurowanego realm Keycloak. Oznacza to, że token wystawiony przez jeden realm jest cicho akceptowany przez politykę skonfigurowaną dla zupełnie innego realm, co całkowicie łamie izolację między tenantami.

Pokaż oryginał (EN)

Cross-Realm Token Acceptance Bypass in KeycloakSecurityPolicy Apache Camel Keycloak component.  The Camel-Keycloak KeycloakSecurityPolicy does not validate the iss (issuer) claim of JWT tokens against the configured realm. A token issued by one Keycloak realm is silently accepted by a policy configured for a completely different realm, breaking tenant isolation. This issue affects Apache Camel: from 4.15.0 before 4.18.0. Users are recommended to upgrade to version 4.18.0, which fixes the issue.

🤖 Analiza AI
Jak działa

Podatność (CWE-346 – Origin Validation Error) polega na tym, że KeycloakSecurityPolicy w Apache Camel nie sprawdza, czy claim 'iss' (issuer) w otrzymanym tokenie JWT odpowiada realm skonfigurowanemu w danej polityce. Atakujący posiadający ważny token JWT wystawiony przez dowolny realm tej samej lub innej instancji Keycloak może przesłać go do usługi skonfigurowanej dla innego realm. Usługa zaakceptuje token bez zgłoszenia błędu, ponieważ brakuje walidacji po stronie Camel, mimo że token pochodzi z niezaufanego kontekstu.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do zasobów chronionych przez politykę innego realm (naruszenie poufności i integralności), skutecznie omijając izolację tenantów w środowiskach wielodostępnych.

Mitygacja

Należy zaktualizować Apache Camel do wersji 4.18.0 lub nowszej, która zawiera poprawkę tego problemu.

Kogo dotyczy

Apache Camel w wersjach od 4.15.0 (włącznie) do 4.18.0 (wyłącznie) korzystających z komponentu Camel-Keycloak z KeycloakSecurityPolicy.

Uwagi

Dostępne jest publiczne repozytorium GitHub (oscerd/CVE-2026-23552) powiązane z tą podatnością, co może sugerować dostępność materiałów proof-of-concept.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Apache Camel

    APP
    Apache
    4.15.0 – 4.18.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-47323CRITICAL9.8PL ✓ten sam produkt

Apache Camel: wstrzyknięcie nagłówków HTTP w camel-cxf i camel-knative (RCE)

CVE-2026-40860CRITICAL9.8PL ✓ten sam produkt

Apache Camel: niebezpieczna deserializacja JMS ObjectMessage prowadząca do RCE

CVE-2026-33453CRITICAL10.0PL ✓ten sam produkt

Apache Camel camel-coap: RCE poprzez wstrzyknięcie nagłówków Camel

CVE-2026-33454CRITICAL9.4PL ✓ten sam produkt

Apache Camel: wstrzyknięcie nagłówków przez komponent Camel-Mail

CVE-2026-40453CRITICAL9.9PL ✓ten sam produkt

Apache Camel — obejście filtrowania nagłówków umożliwiające RCE

CVE-2026-23552 — Apache Camel: pominięcie weryfikacji issuer JWT w KeycloakSecurityPolicy — CRITICAL 9.1 | CVEbaza.pl