Plateforme
java
Composant
undertow
Corrigé dans
1.10.0
2.5.4
CVE-2026-28368 est une faille dans Undertow qui permet à un attaquant distant de construire des requêtes spécialement conçues. Ces requêtes sont interprétées différemment par Undertow et les proxies en amont, menant à du smuggling de requête. Cela peut contourner les contrôles de sécurité et permettre l'accès à des ressources non autorisées. Aucun correctif officiel n'est disponible pour le moment.
Une vulnérabilité critique (CVE-2026-28368) a été identifiée dans la Red Hat Build d'Apache Camel pour Spring Boot 4, liée à Undertow. Cette vulnérabilité permet à un attaquant distant de créer des requêtes spécialement conçues où les noms d'en-tête sont analysés différemment par Undertow par rapport aux proxys upstream. Cette divergence dans l'interprétation des en-têtes peut être exploitée pour lancer des attaques de contrebande de requêtes, contournant potentiellement les contrôles de sécurité et accédant à des ressources non autorisées. Le CVSS a été noté 8,7, indiquant un risque élevé. La mise à jour vers la version 2.5.4 est cruciale pour atténuer ce risque.
La vulnérabilité est exploitée en créant des requêtes HTTP qui tirent parti des différences dans la façon dont Undertow et les proxys upstream analysent les noms d'en-tête. Cela permet à l'attaquant de « faire passer en fraude » des requêtes HTTP supplémentaires dans la requête d'origine, ce qui peut entraîner un accès à des ressources protégées ou des actions non autorisées. La complexité de l'exploitation dépend de la configuration spécifique de l'infrastructure, mais la possibilité de contourner les contrôles de sécurité est significative. L'absence d'un KEV (Knowledge Engineering Vector) indique des informations limitées sur l'exploitation, mais la gravité de la vulnérabilité exige une action immédiate.
Organizations utilizing Undertow as their web server or servlet container, particularly those deploying applications behind reverse proxies like Apache or Nginx, are at risk. Legacy applications relying on older, vulnerable Undertow versions are especially susceptible. Shared hosting environments where Undertow is used as a common component also present a heightened risk.
• java / server:
# Check Undertow version
java -version
# Monitor logs for unusual header patterns (e.g., multiple Content-Length headers)
grep -i 'content-length' /path/to/undertow.log• generic web:
# Check for unusual HTTP headers in access logs
grep -i 'content-length' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.11% (percentile 29%)
CISA SSVC
Vecteur CVSS
La principale mesure d'atténuation pour cette vulnérabilité est de mettre à jour vers la version 2.5.4 de la Red Hat Build d'Apache Camel pour Spring Boot 4. Cette version inclut une correction qui traite de l'interprétation incohérente des en-têtes. En attendant, comme mesure temporaire, examinez et renforcez les configurations de vos proxys upstream pour minimiser l'impact potentiel des attaques de contrebande de requêtes. Surveiller les journaux du serveur à la recherche de schémas de requêtes suspects est également une bonne pratique. La mise à jour est la solution la plus efficace et est fortement recommandée.
Actualice Undertow a la versión 2.5.4 o superior para mitigar la vulnerabilidad de contrabando de solicitudes. Verifique las notas de la versión de Undertow para obtener instrucciones de actualización específicas para su entorno. Asegúrese de probar exhaustivamente después de la actualización para garantizar la compatibilidad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
La contrebande de requêtes est une attaque où un attaquant insère des requêtes HTTP supplémentaires dans une requête existante, en exploitant les différences dans la façon dont différents serveurs ou proxys interprètent les en-têtes.
La version 2.5.4 contient une correction spécifique pour cette vulnérabilité, traitant de l'interprétation incohérente des en-têtes et empêchant les attaques de contrebande de requêtes.
En tant que mesure temporaire, examinez et renforcez les configurations de vos proxys upstream et surveillez les journaux du serveur à la recherche de schémas de requêtes suspects.
Une note CVSS de 8,7 indique un niveau de gravité élevé, ce qui signifie que la vulnérabilité représente un risque de sécurité important.
Un KEV (Knowledge Engineering Vector) est un document fournissant des informations détaillées sur l'exploitation d'une vulnérabilité. L'absence d'un KEV indique des informations limitées sur l'exploitation.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.