CVE-2026-7504Keycloak在重定向操作的URL验证逻辑中发现缺陷。攻击者通过精心构造恶意请求,可绕过验证机制将用户重定向至未授权URL。该漏洞专门影响在“Valid Redirect URIs”字段中配置了通配符(*)的Keycloak客户端,且需要用户交互才能成功利用。成功利用此漏洞可能导致域内敏感信息泄露或为后续攻击提供便利。
该漏洞的根本原因在于Keycloak的URL验证逻辑与Java底层URI解析器在处理URL user-info组件时的实现差异。具体而言,当攻击者构造的恶意重定向URL在user-info部分包含连续或多个@符号时,Java标准的URI解析器会失效,无法正确提取user-info部分,导致解析结果中仅保留了原始的authority字段。由于Keycloak依赖此解析逻辑进行校验,它无法识别出这种格式错误的user-info,进而触发了回退机制,使用通配符(*)进行匹配。这导致本应被拦截的恶意URL被错误地判定为合法。攻击者利用这一解析漏洞,结合社会工程学手段诱导用户点击,即可将受害者从受信任的Keycloak认证页面重定向至攻击者控制的恶意站点,从而窃取敏感信息或进行钓鱼攻击。