Vulnerabilities ›

CVE-2026-9793

Medium

CWE-347 — Weakness Type

                    Published: May 28, 2026                      ·  Modified: May 31, 2026                      ·  Source: NVD                

CVSS v3

5.9

🔗 NVD Official

📄 Description (English)

A flaw was found in Keycloak. When a JSON Web Encryption (JWE) encrypted request object is submitted, Keycloak may incorrectly process unsigned claims if the decrypted content is raw JSON, bypassing the configured signature policy. This allows a remote attacker to submit unauthorized claims, leading to a compromise of data integrity within the OpenID Connect (OIDC) authorization flow. While a redirect URI allowlist acts as a compensating control, this vulnerability violates OIDC Core and Financial-grade API (FAPI) signing requirements.

🤖 AI Executive Summary

Keycloak incorrectly processes unsigned claims in JWE encrypted request objects, allowing attackers to submit unauthorized claims and bypass signature policies in OIDC flows. This vulnerability compromises data integrity despite redirect URI allowlists acting as partial compensating controls.

📄 Description (Arabic)

تحتوي هذه الثغرة على عيب في معالجة Keycloak لكائنات الطلب المشفرة بـ JWE حيث قد لا يتم التحقق من التوقيع على المطالبات المفككة. يسمح هذا للمهاجمين بتجاوز سياسات التوقيع المكونة وتقديم مطالبات غير مصرح بها في تدفقات OIDC. الثغرة تنتهك متطلبات التوقيع الأساسية في معايير OIDC Core و FAPI.

🤖 ملخص تنفيذي (AI)

يعالج Keycloak بشكل غير صحيح المطالبات غير الموقعة في كائنات الطلب المشفرة بـ JWE، مما يسمح للمهاجمين بتقديم مطالبات غير مصرح بها وتجاوز سياسات التوقيع في تدفقات OIDC. تؤثر هذه الثغرة على سلامة البيانات رغم أن قوائم معرفات إعادة التوجيه توفر ضوابط تعويضية جزئية.

🤖 AI Intelligence Analysis Analyzed: May 30, 2026 08:30

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1556 T1187 T1598

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Keycloak to the latest patched version that enforces signature validation on all claims regardless of JWE encryption status. Implement strict OIDC and FAPI compliance validation, enforce signature requirements on all request objects, and conduct security audits of authorization flows. Monitor for suspicious claim submissions and validate all decrypted content against configured signature policies.

🔧 خطوات المعالجة (العربية)

قم بترقية Keycloak إلى أحدث إصدار مصحح يفرض التحقق من التوقيع على جميع المطالبات بغض النظر عن حالة تشفير JWE. طبق التحقق الصارم من امتثال OIDC و FAPI، وفرض متطلبات التوقيع على جميع كائنات الطلب، وإجراء تدقيقات أمنية لتدفقات التفويض. راقب عمليات تقديم المطالبات المريبة والتحقق من جميع المحتوى المفكك مقابل سياسات التوقيع المكونة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.2.1 5.3.1

🔵 SAMA CSF

AC-2 AC-3 SI-7

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3 A.10.1.1

🔗 References & Sources 2

🔗

https://access.redhat.com/security/cve/CVE-2026-9793

secalert@redhat.com

🔗

https://bugzilla.redhat.com/show_bug.cgi?id=2482460

secalert@redhat.com

📊 CVSS Score

5.9

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score5.9

CWECWE-347

EPSS0.01%

Exploit No

Patch ✗ No

Published 2026-05-28

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-347

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-9793

Introduce Yourself

Sign In Required