Plattform
java
Komponente
org.eclipse.jetty:jetty-http
Behoben in
12.1.7
12.0.33
11.0.28
10.0.28
9.4.60
12.1.7
This vulnerability affects Eclipse Jetty, a Java web server and servlet container. It arises from an issue in the HTTP/1.1 parser's handling of chunk extensions, allowing attackers to smuggle requests. Versions 9.4.0 through 12.1.6 are impacted, and a patch is available to address this security concern.
CVE-2026-2332 in Eclipse Jetty ermöglicht HTTP-Request-Smuggling-Angriffe durch eine fehlerhafte Analyse von Strings in Anführungszeichen in den Werten der HTTP/1.1 Chunked-Transfer-Encoding-Erweiterungen. Dieser Fehler tritt auf, weil Jetty die Syntax der Chunked-Encoding-Erweiterungen nicht korrekt validiert, wenn diese in Anführungszeichen eingeschlossen sind. Ein Angreifer könnte dies ausnutzen, indem er bösartige HTTP-Anfragen sendet, die vom Proxy-Server und dem Backend-Server unterschiedlich interpretiert werden, was potenziell zu unbefugtem Zugriff auf Ressourcen oder der Ausführung von bösartigem Code führen kann. Die CVSS-Schweregrad ist 7,4, was ein hohes Risiko anzeigt. Es ist entscheidend, das Update auf Version 12.1.7 anzuwenden, um dieses Risiko zu mindern.
Diese Schwachstelle nutzt die 'Funky Chunks'-Techniken für HTTP-Request-Smuggling. Der Angreifer manipuliert die Chunked-Transfer-Encoding-Header, um den Proxy-Server und den Backend-Server zu täuschen, damit diese Anfragen unterschiedlich interpretieren. Die Verwendung von Anführungszeichen in den Transfer-Encoding-Werten führt zu einer spezifischen Schwachstelle, die Jetty nicht korrekt behandelt. Eine erfolgreiche Ausnutzung erfordert, dass der Angreifer die Kontrolle über die anfängliche HTTP-Anfrage hat und diese manipulieren kann, um bösartige Chunked-Transfer-Encoding-Header einzufügen. Die Komplexität der Ausnutzung hängt von der Konfiguration des Proxy- und Backend-Servers ab.
Exploit-Status
EPSS
0.01% (2% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Lösung zur Minderung von CVE-2026-2332 ist die Aktualisierung von Eclipse Jetty auf Version 12.1.7 oder höher. Diese Version enthält eine Korrektur, die das Problem der Analyse von Strings in Anführungszeichen behebt. Überprüfen Sie außerdem die Serverkonfiguration, um sicherzustellen, dass robuste Sicherheitsrichtlinien implementiert sind, wie z. B. die Validierung von Eingaben und die Begrenzung der Länge von HTTP-Anfragen. Die Überwachung der Serverprotokolle auf verdächtige Muster im Zusammenhang mit Chunked-Transfer-Encoding kann ebenfalls dazu beitragen, Angriffe zu erkennen und zu verhindern. Erwägen Sie die Verwendung von Web Application Firewalls (WAFs), um bösartigen Datenverkehr zu filtern.
Actualice Eclipse Jetty a la versión 12.1.7 o superior, 12.0.33 o superior, 11.0.28 o superior, 10.0.28 o superior, o 9.4.60 o superior para mitigar la vulnerabilidad de smuggling de solicitudes HTTP. Esta vulnerabilidad permite a un atacante inyectar solicitudes maliciosas aprovechando el manejo incorrecto de las extensiones de bloque en el analizador HTTP/1.1.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist eine Angriffstechnik, die Unterschiede in der Art und Weise ausnutzt, wie Proxy-Server und Backend-Server HTTP-Anfragen verarbeiten, wodurch ein Angreifer bösartige Anfragen zwischen legitime Anfragen einschleusen kann.
Version 12.1.7 enthält eine spezifische Korrektur für CVE-2026-2332, die die Schwachstelle der Analyse von Strings in Anführungszeichen behebt.
Zusätzlich zur Aktualisierung sollten Sie die Validierung von Eingaben, die Begrenzung der Länge von HTTP-Anfragen und die Verwendung einer WAF in Betracht ziehen.
Überwachen Sie die Serverprotokolle auf verdächtige Muster im Zusammenhang mit Chunked-Transfer-Encoding und Request-Smuggling.
Penetrationstest-Tools können helfen, HTTP-Request-Smuggling-Schwachstellen zu identifizieren, einschließlich Varianten, die auf 'Funky Chunks' basieren.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.