Plattform
java
Komponente
org.eclipse.jetty.ee11:jetty-ee11-jaspi
Behoben in
12.1.8
12.0.34
11.0.29
10.0.29
9.4.61
12.1.7
CVE-2026-5795 is an authentication bypass vulnerability affecting Jetty EE11 Jaspi versions 12.1.0 through 12.1.7. This flaw arises from inconsistent clearing of authentication metadata stored in ThreadLocal variables during error conditions. Successful exploitation could allow an attacker to impersonate users and gain unauthorized access to protected resources. A fix is available in version 12.1.8.
CVE-2026-5795 in org.eclipse.jetty.ee11:jetty-ee11-jaspi betrifft Webanwendungen, die Jetty für die Authentifizierung mit Jaspi verwenden. Der Fehler liegt in der Verwaltung von Authentifizierungsmeta-Daten, die in ThreadLocal gespeichert werden. Wenn ein GroupPrincipalCallback in ThreadLocal persistiert wird und der Authentifizierungsprozess vorzeitig beendet wird (z. B. aufgrund eines Fehlers oder des Auslassens eines obligatorischen CallerPrincipalCallback), können die Authentifizierungsdaten in ThreadLocal verbleiben. Dies könnte einem Angreifer in bestimmten Szenarien potenziell ermöglichen, Authentifizierungsinformationen eines vorherigen Benutzers wiederzuverwenden oder zu manipulieren, wodurch er möglicherweise unbefugten Zugriff auf geschützte Ressourcen erhält. Die CVSS-Schweregrad ist 7,4, was ein hohes Risiko anzeigt. Ein Update auf Version 12.1.8 ist entscheidend, um dieses Problem zu beheben.
Die Ausnutzung dieser Schwachstelle erfordert ein tiefes Verständnis des Jaspi-Authentifizierungsflusses und die Fähigkeit, eine vorzeitige Prozessbeendigung auszulösen. Ein Angreifer könnte versuchen, Anfragen zu manipulieren, um die Ausführung des CallerPrincipalCallback zu verhindern oder Fehler zu verursachen, die den normalen Authentifizierungsprozess unterbrechen. Der Erfolg der Ausnutzung hängt von der spezifischen Anwendungskonfiguration und dem Vorhandensein anderer Risikofaktoren ab. Die Wahrscheinlichkeit einer Ausnutzung wird als gering bis mittel eingestuft, aber das potenzielle Risiko ist erheblich und kann zu unbefugtem Zugriff auf sensible Daten oder eingeschränkte Funktionen führen.
Organizations using Jetty EE11 Jaspi in their web applications, particularly those relying on it for authentication and authorization, are at risk. This includes deployments where Jetty is integrated with other Java EE components or used as a reverse proxy. Applications handling sensitive data or critical business processes are particularly vulnerable.
• java / server: Monitor Jetty logs for unusual authentication patterns or errors related to GroupPrincipalCallback and CallerPrincipalCallback.
grep -i 'GroupPrincipalCallback|CallerPrincipalCallback' /path/to/jetty/logs/jetty.log• java / server: Use a Java profiler to inspect ThreadLocal variables during authentication flows and identify instances where authentication metadata is not being properly cleared. • generic web: Examine authentication endpoints for unexpected behavior or responses that might indicate a bypass. • generic web: Check for unusual user sessions or access patterns that don't align with expected user behavior.
disclosure
Exploit-Status
EPSS
0.02% (5% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung ist, die Bibliothek jetty-ee11-jaspi auf Version 12.1.8 oder höher zu aktualisieren. Diese Version enthält eine Korrektur, die sicherstellt, dass Authentifizierungsmeta-Daten in ThreadLocal in allen Situationen ordnungsgemäß gelöscht werden, auch bei Fehlern oder vorzeitiger Beendigung des Authentifizierungsprozesses. Wenn ein sofortiges Update nicht möglich ist, überprüfen Sie den Code Ihrer Anwendung, um alle Logik zu identifizieren und zu korrigieren, die möglicherweise von einer ordnungsgemäßen ThreadLocal-Bereinigung im Kontext der Jaspi-Authentifizierung abhängt. Gründliche Tests nach jeder Änderung sind unerlässlich, um die Sicherheit zu gewährleisten.
Actualice Eclipse Jetty a la versión 9.4.61 o superior, 10.0.29 o superior, 11.0.29 o superior, 12.0.34 o superior, o 12.1.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema al limpiar correctamente los ThreadLocal variables después de las comprobaciones de autenticación iniciales, previniendo así la escalada de privilegios.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Jaspi ist ein Authentifizierungsmechanismus, der auf Sicherheitsstandards wie OAuth 2.0 und OpenID Connect basiert und in Jetty verwendet wird, um Webressourcen zu schützen.
ThreadLocal ermöglicht die Speicherung von Daten, die für jeden Ausführungsthread spezifisch sind, was für die Kontextverwaltung nützlich sein kann, aber eine sorgfältige Bereinigung erfordert, um Informationslecks zu vermeiden.
CVSS 7.4 weist dem Schwachstelle einen 'Hohen'-Schweregrad zu, was bedeutet, dass sie ein erhebliches Sicherheitsrisiko für die Anwendung darstellt.
Obwohl eine manuelle Patch-Anwendung möglich ist, wird dringend empfohlen, auf Version 12.1.8 zu aktualisieren, um eine vollständige Lösung zu gewährleisten und potenzielle Kompatibilitätsprobleme zu vermeiden.
Überprüfen Sie Ihren Code, um alle Abhängigkeiten von der ThreadLocal-Bereinigung zu identifizieren, und wenden Sie vorübergehende Abschwächungsmaßnahmen an, bis Sie die Bibliothek aktualisieren können.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.