漏洞概述 漏洞编号: CVE-2026-9803 漏洞名称: Keycloak: Denial of Service via malformed Authorization header 状态: NEW 报告日期: 2026-05-28 04:08 UTC by OSIDB Bzport 修改日期: 2026-05-28 04:42 UTC (History) CC列表: 10 users (show) 修复版本: 未指定 关闭日期: 未指定 环境: 未指定 最后关闭: 未指定 Embargoed: 未指定 影响范围 产品: Security Response 组件: vulnerability 版本: unspecified 硬件: All 操作系统: Linux 优先级: medium 严重性: medium 目标里程碑: 未指定 分配给: Product Security DevOps Team QA联系人: 未指定 文档联系人: 未指定 URL: 未指定 白板: 未指定 依赖项: 未指定 阻塞项: 未指定 修复方案 描述: 在Keycloak的ClientRegistrationAuth组件中发现了一个漏洞。远程未认证的攻击者可以通过向任何客户端注册端点发送一个特别构造的POST请求,使用一个格式错误的“Authorization: Bearer”头来利用这个漏洞。这可能导致ArrayIndexOutOfBoundsException异常,使服务器返回HTTP 500错误,并导致受影响服务的拒绝服务(DoS)。 POC代码或利用代码 页面中未包含具体的POC代码或利用代码。 其他信息 附件: (Terms of Use) 备注: 需要登录才能在此bug上评论或进行更改。