Plateforme
java
Composant
apache-undertow
Corrigé dans
1.10.0
2.5.4
La CVE-2026-28367 est une vulnérabilité de type smogglage de requête HTTP présente dans Undertow. Un attaquant distant peut exploiter cette faille en envoyant \r\r\r comme terminateur de bloc d'en-tête, permettant potentiellement un accès non autorisé ou la manipulation de requêtes web. Cette vulnérabilité affecte Undertow. Aucun correctif officiel n'est actuellement disponible.
Une vulnérabilité critique (CVE-2026-28367) a été identifiée dans la version Red Hat Build d'Apache Camel pour Spring Boot 4, affectant le composant Undertow. Cette vulnérabilité permet à un attaquant distant d'exploiter le système en envoyant \r\r\r comme terminateur de bloc d'en-tête. Cela peut faciliter des attaques de 'request smuggling' (contrebande de requêtes) en conjonction avec certains serveurs proxy, tels que les anciennes versions d'Apache Traffic Server et Google Cloud Classic Application Load Balancer. Une exploitation réussie pourrait entraîner un accès non autorisé à des données sensibles, la manipulation de requêtes web et, potentiellement, l'exécution de code malveillant sur le serveur.
La vulnérabilité est exploitée par la manipulation des en-têtes HTTP. Un attaquant envoie une requête avec une séquence \r\r\r dans un en-tête, trompant le serveur Undertow pour qu'il interprète incorrectement la fin de la requête. Cela, combiné à la façon dont certains serveurs proxy traitent les requêtes, peut permettre à l'attaquant de 'faire passer en fraude' des requêtes supplémentaires, qui sont traitées comme si elles étaient des requêtes légitimes. La vulnérabilité est particulièrement pertinente pour les environnements utilisant des serveurs proxy obsolètes ou mal configurés, tels qu'Apache Traffic Server ou Google Cloud Classic Application Load Balancer. L'exploitation nécessite des connaissances spécifiques sur le fonctionnement des serveurs proxy et la manipulation des en-têtes HTTP.
Organizations using Apache Undertow as a servlet container, particularly those deploying it behind proxy servers like Apache Traffic Server or Google Cloud Classic Application Load Balancer, are at significant risk. Legacy systems running older versions of Undertow and those with misconfigured proxy servers are especially vulnerable. Shared hosting environments where multiple users share the same Undertow instance should also be prioritized for remediation.
• linux / server:
journalctl -u undertow -g "header block terminator"• generic web:
curl -I 'http://your-undertow-server/path' -H 'Header: Malicious\r\r\rValue' | grep -i 'HTTP/1.1 200 OK'• linux / server:
lsof -i :8080 | grep undertowdisclosure
patch
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à niveau vers la version 2.5.4 ou ultérieure de la Red Hat Build d'Apache Camel pour Spring Boot 4. Cette mise à niveau inclut une correction qui atténue la vulnérabilité en gérant correctement les terminateurs de bloc d'en-tête. En attendant, comme mesure d'atténuation temporaire, il est recommandé de désactiver ou de configurer soigneusement les serveurs proxy susceptibles d'être vulnérables aux attaques de 'request smuggling'. Il est essentiel d'examiner les configurations des serveurs proxy et de s'assurer qu'ils sont mis à jour avec les derniers correctifs de sécurité. Il est également recommandé de surveiller les journaux du serveur à la recherche de schémas suspects d'activité de 'request smuggling'.
Actualice a la versión 2.5.4 o superior para mitigar la vulnerabilidad de contrabando de solicitudes. Esta actualización corrige la forma en que Undertow maneja los terminadores de bloque de encabezados, previniendo la explotación a través de secuencias ` `.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Le 'request smuggling' est une attaque où un attaquant envoie des requêtes HTTP qui sont interprétées différemment par le serveur web et le proxy, permettant à l'attaquant de 'faire passer en fraude' des requêtes supplémentaires et d'accéder potentiellement à des ressources non autorisées.
Toutes les versions antérieures à 2.5.4 de la Red Hat Build d'Apache Camel pour Spring Boot 4 sont vulnérables.
Comme mesure temporaire, désactivez ou configurez soigneusement les serveurs proxy susceptibles d'être vulnérables aux attaques de 'request smuggling' et surveillez les journaux du serveur.
Il existe des outils de sécurité web qui peuvent aider à détecter des schémas suspects d'activité de 'request smuggling', mais la détection peut être complexe.
Vous pouvez trouver plus d'informations sur la vulnérabilité sur les ressources de sécurité de Red Hat et Apache.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.