Plattform
java
Komponente
undertow
Behoben in
1.10.0
2.5.4
CVE-2026-28368 is a request smuggling vulnerability discovered in Undertow. This flaw allows attackers to craft malicious requests that are interpreted differently by Undertow and upstream proxies, enabling them to bypass security measures and potentially access sensitive resources. The vulnerability impacts Undertow versions 1.0.0 through 2.5.3, and a fix is available in version 2.5.4.
Eine kritische Schwachstelle (CVE-2026-28368) wurde in der Red Hat Build von Apache Camel für Spring Boot 4 identifiziert, die mit Undertow zusammenhängt. Diese Schwachstelle ermöglicht es einem entfernten Angreifer, speziell gestaltete Anfragen zu erstellen, bei denen Header-Namen von Undertow anders analysiert werden als von Upstream-Proxys. Diese Diskrepanz bei der Header-Interpretation kann ausgenutzt werden, um Request-Smuggling-Angriffe zu starten, wodurch Sicherheitskontrollen möglicherweise umgangen und unautorisierte Ressourcen abgerufen werden können. Der CVSS wurde mit einem Wert von 8,7 bewertet, was ein hohes Risiko anzeigt. Ein Update auf Version 2.5.4 ist entscheidend, um dieses Risiko zu mindern.
Die Schwachstelle wird ausgenutzt, indem HTTP-Anfragen erstellt werden, die Unterschiede in der Art und Weise ausnutzen, wie Undertow und Upstream-Proxys Header-Namen analysieren. Dies ermöglicht es dem Angreifer, zusätzliche HTTP-Anfragen innerhalb der ursprünglichen Anfrage zu „schmuggeln“, was potenziell zu einem Zugriff auf geschützte Ressourcen oder unautorisierte Aktionen führen kann. Die Komplexität der Ausnutzung hängt von der spezifischen Infrastrukturkonfiguration ab, aber die Möglichkeit, Sicherheitskontrollen zu umgehen, ist erheblich. Das Fehlen eines KEV (Knowledge Engineering Vector) deutet auf begrenzte Informationen über die Ausnutzung hin, aber die Schwere der Schwachstelle erfordert sofortiges Handeln.
Organizations utilizing Undertow as their web server or servlet container, particularly those deploying applications behind reverse proxies like Apache or Nginx, are at risk. Legacy applications relying on older, vulnerable Undertow versions are especially susceptible. Shared hosting environments where Undertow is used as a common component also present a heightened risk.
• java / server:
# Check Undertow version
java -version
# Monitor logs for unusual header patterns (e.g., multiple Content-Length headers)
grep -i 'content-length' /path/to/undertow.log• generic web:
# Check for unusual HTTP headers in access logs
grep -i 'content-length' /var/log/apache2/access.logdisclosure
Exploit-Status
EPSS
0.11% (29% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Maßnahme zur Minderung dieser Schwachstelle ist ein Update auf Version 2.5.4 der Red Hat Build von Apache Camel für Spring Boot 4. Diese Version enthält eine Korrektur, die die inkonsistente Header-Interpretation behebt. In der Zwischenzeit sollten Sie als vorübergehende Maßnahme Ihre Upstream-Proxy-Konfigurationen überprüfen und härten, um die potenziellen Auswirkungen von Request-Smuggling-Angriffen zu minimieren. Es ist auch eine gute Praxis, die Serverprotokolle auf verdächtige Anfrage-Muster zu überwachen. Das Update ist die effektivste Lösung und wird dringend empfohlen.
Actualice Undertow a la versión 2.5.4 o superior para mitigar la vulnerabilidad de contrabando de solicitudes. Verifique las notas de la versión de Undertow para obtener instrucciones de actualización específicas para su entorno. Asegúrese de probar exhaustivamente después de la actualización para garantizar la compatibilidad.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Request Smuggling ist ein Angriff, bei dem ein Angreifer zusätzliche HTTP-Anfragen in eine bestehende Anfrage einfügt und dabei Unterschiede in der Art und Weise ausnutzt, wie verschiedene Server oder Proxys Header interpretieren.
Version 2.5.4 enthält eine spezifische Korrektur für diese Schwachstelle, die die inkonsistente Header-Interpretation behebt und Request-Smuggling-Angriffe verhindert.
Als vorübergehende Maßnahme sollten Sie Ihre Upstream-Proxy-Konfigurationen überprüfen und härten und die Serverprotokolle auf verdächtige Anfrage-Muster überwachen.
Ein CVSS-Wert von 8,7 deutet auf ein hohes Schweregradniveau hin, was bedeutet, dass die Schwachstelle ein erhebliches Sicherheitsrisiko darstellt.
Ein KEV (Knowledge Engineering Vector) ist ein Dokument, das detaillierte Informationen über die Ausnutzung einer Schwachstelle enthält. Das Fehlen eines KEV deutet auf begrenzte Informationen über die Ausnutzung hin.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.