CVE-2026-37979Keycloak的OpenID Connect (OIDC)令牌内省端点存在访问控制漏洞,允许机密客户端绕过受众限制。攻击者控制的客户端若拥有有效凭据,可检索本应发给其他资源服务器的敏感令牌声明,从而破坏轻量级访问令牌的机密性。该问题可被领域内任何拥有有效凭据的机密客户端远程利用,无需用户交互。
该漏洞源于Keycloak在处理OIDC令牌内省请求时的逻辑缺陷。在标准OAuth 2.0/OIDC流程中,令牌内省端点应验证请求者的身份,确保只有被列为令牌受众的资源服务器才能解析令牌详情。然而,由于访问控制机制失效,攻击者控制的机密客户端可以利用有效的客户端ID和密钥,直接向内省端点发送请求。系统未能正确校验请求客户端与目标令牌受众之间的匹配关系,导致攻击者可以绕过Audience限制。这使得攻击者能够获取原本属于其他微服务或资源服务器的令牌详细信息,泄露用户角色、权限范围等敏感数据,严重违反了最小权限原则。