Eclipse GlassFish est vulnérable aux attaques de falsification de requête côté serveur (SSRF) via des points de terminaison spécifiques.

L'exploitation réussie de cette vulnérabilité SSRF peut permettre à un attaquant d'accéder à des ressources sensibles au sein du réseau interne de l'organisation. Cela peut inclure l'accès à des informations confidentielles stockées sur des serveurs internes, l'exécution de commandes sur des systèmes vulnérables, ou même l'accès à des services cloud internes. Un attaquant pourrait également utiliser cette faille pour scanner le réseau interne à la recherche d'autres vulnérabilités, ou pour lancer des attaques contre d'autres systèmes. Bien que la vulnérabilité ne permette pas directement l'exécution de code arbitraire, elle peut servir de point d'entrée pour des attaques plus complexes, en particulier si des services internes vulnérables sont exposés.

Organizations running GlassFish version 6.2.5 or earlier, particularly those with sensitive data stored within the GlassFish environment or exposed through internal services, are at risk. Shared hosting environments utilizing GlassFish are also vulnerable, as they may lack the ability to independently patch the underlying server software.

• java / server: Monitor GlassFish server logs for unusual outbound requests, particularly those targeting internal IP addresses or sensitive endpoints. Use network monitoring tools to detect suspicious traffic originating from the GlassFish server.

journalctl -u glassfish | grep -i "request to"

• generic web: Use a web application firewall (WAF) to filter outbound requests and block those that appear malicious. Configure the WAF to inspect HTTP headers and request bodies for suspicious patterns. • generic web: Check access logs for requests to unusual or unexpected internal endpoints. • generic web: Examine response headers for signs of SSRF exploitation, such as redirects to internal resources.

1. 2025-07-16Disclosure

   disclosure

1. Réservé2024-10-01
2. Publiée2025-07-16
3. Modifiée2025-07-18
4. EPSS mis à jour2026-04-02

La mitigation principale consiste à mettre à jour Eclipse GlassFish vers la version 6.2.6 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en place. Il est recommandé de configurer un pare-feu pour limiter les requêtes sortantes du serveur GlassFish à des destinations autorisées. L'utilisation d'un proxy inverse peut également aider à filtrer les requêtes et à empêcher les attaques SSRF. Surveillez attentivement les journaux du serveur GlassFish pour détecter toute activité suspecte, en particulier les requêtes vers des adresses IP ou des domaines inconnus.