الثغرات ›

CVE-2026-9793

متوسط

CWE-347 — نوع الضعف

                    نُشر: May 28, 2026                      ·  آخر تحديث: May 31, 2026                      ·  المصدر: NVD                

CVSS v3

5.9

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A flaw was found in Keycloak. When a JSON Web Encryption (JWE) encrypted request object is submitted, Keycloak may incorrectly process unsigned claims if the decrypted content is raw JSON, bypassing the configured signature policy. This allows a remote attacker to submit unauthorized claims, leading to a compromise of data integrity within the OpenID Connect (OIDC) authorization flow. While a redirect URI allowlist acts as a compensating control, this vulnerability violates OIDC Core and Financial-grade API (FAPI) signing requirements.

🤖 ملخص AI

Keycloak incorrectly processes unsigned claims in JWE encrypted request objects, allowing attackers to submit unauthorized claims and bypass signature policies in OIDC flows. This vulnerability compromises data integrity despite redirect URI allowlists acting as partial compensating controls.

📄 الوصف (العربية)

تحتوي هذه الثغرة على عيب في معالجة Keycloak لكائنات الطلب المشفرة بـ JWE حيث قد لا يتم التحقق من التوقيع على المطالبات المفككة. يسمح هذا للمهاجمين بتجاوز سياسات التوقيع المكونة وتقديم مطالبات غير مصرح بها في تدفقات OIDC. الثغرة تنتهك متطلبات التوقيع الأساسية في معايير OIDC Core و FAPI.

🤖 ملخص تنفيذي (AI)

يعالج Keycloak بشكل غير صحيح المطالبات غير الموقعة في كائنات الطلب المشفرة بـ JWE، مما يسمح للمهاجمين بتقديم مطالبات غير مصرح بها وتجاوز سياسات التوقيع في تدفقات OIDC. تؤثر هذه الثغرة على سلامة البيانات رغم أن قوائم معرفات إعادة التوجيه توفر ضوابط تعويضية جزئية.

🤖 التحليل الذكي آخر تحليل: May 30, 2026 08:30

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1556 T1187 T1598

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Keycloak to the latest patched version that enforces signature validation on all claims regardless of JWE encryption status. Implement strict OIDC and FAPI compliance validation, enforce signature requirements on all request objects, and conduct security audits of authorization flows. Monitor for suspicious claim submissions and validate all decrypted content against configured signature policies.

🔧 خطوات المعالجة (العربية)

قم بترقية Keycloak إلى أحدث إصدار مصحح يفرض التحقق من التوقيع على جميع المطالبات بغض النظر عن حالة تشفير JWE. طبق التحقق الصارم من امتثال OIDC و FAPI، وفرض متطلبات التوقيع على جميع كائنات الطلب، وإجراء تدقيقات أمنية لتدفقات التفويض. راقب عمليات تقديم المطالبات المريبة والتحقق من جميع المحتوى المفكك مقابل سياسات التوقيع المكونة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.2.1 5.3.1

🔵 SAMA CSF

AC-2 AC-3 SI-7

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3 A.10.1.1

🔗 المراجع والمصادر 2

🔗

https://access.redhat.com/security/cve/CVE-2026-9793

secalert@redhat.com

🔗

https://bugzilla.redhat.com/show_bug.cgi?id=2482460

secalert@redhat.com

📊 CVSS Score

5.9

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.9

CWECWE-347

EPSS0.01%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-28

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-347

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-9793

عرّفنا بنفسك

تسجيل الدخول مطلوب