漏洞概述 漏洞编号:Bug 2487006 (CVE-2026-11800) 漏洞名称:Keycloak: Authentication bypass via JWT algorithm confusion 描述:在Keycloak的JWT授权授权流中发现了一个JWT算法混淆漏洞。攻击者可以使用有效的客户端凭据提交一个伪造的断言,使用 和身份提供者的公钥字节作为HMAC密钥,绕过受影响的IDP的不对称签名验证。该漏洞要求IDP配置为 ,硬编码公钥( ),并且没有固定的断言签名算法(默认)。 影响范围 产品:Security Response 组件:vulnerability 版本:未指定 硬件:所有 操作系统:Linux 优先级:高 严重性:高 目标里程碑:产品安全 报告日期:2026-06-09 14:09 UTC by OSIDB Bzreport 修改日期:2026-06-25 19:43 UTC (History) CC列表:28 users (from) 关闭日期:未指定 环境:未指定 最后关闭:未指定 Embargoed:未指定 修复方案 修复版本:未指定 关闭日期:未指定 POC代码或利用代码 页面中未包含具体的POC代码或利用代码。 其他信息 关键词:Security 状态:NEW 别名:CVE-2026-11800 截止日期:2026-08-29 QA联系人:未指定 文档联系人:未指定 URL:未指定 白板:未指定 依赖项:未指定 阻塞项:未指定 TreeView:取决于阻塞项 附件 无附件 备注 需要登录才能发表评论或进行更改。 页脚 隐私政策 --- 以上为网页截图中关于漏洞的关键信息总结。