漏洞概述 漏洞编号: CVE-2026-9689 漏洞名称: HTTP Parameter Pollution in OIDC redirect URI allows response parameter duplication 描述: Keycloak接受包含预加载OIDC响应参数(如 , , , )的回调URI,当通配符回调URI配置在客户端时。在成功认证后, 会附加Keycloak自己的响应参数而不检查重复,导致在污染的回调URI中出现重复参数。客户端应用程序使用第一个参数解析任何易受攻击者控制的值。成功利用需要:客户端必须注册通配符回调URI(例如, ),受害者必须遵循攻击者制作的授权URL,客户端应用程序必须使用第一个参数解析策略来处理重复查询参数。此问题影响所有版本。 影响范围 产品: Security Response 组件: vulnerability 硬件: All 操作系统: Linux 优先级: medium 严重性: medium 目标里程碑: --- 分配给: Product Security 修复方案 报告时间: 2026-05-27 09:27 UTC by OSDB Bzreport 修改时间: 2026-05-27 10:36 UTC (History) CC列表: 11 users (show) 修复版本: --- 关闭原因: --- 环境: --- 最后关闭: --- 已发布: --- POC代码或利用代码 页面中未提供具体的POC代码或利用代码。 其他信息 关键词: Security 别名: CVE-2026-9689 QA联系人: --- 文档联系人: --- URL: --- 白板: --- 依赖项: --- 阻塞项: --- TreeView: depends on / blocked 附件 附件链接: (Terms of Use) 备注 需要登录才能评论或对此bug进行更改。