Plateforme
java
Composant
org.eclipse.jetty.ee11:jetty-ee11-jaspi
Corrigé dans
12.1.8
12.0.34
11.0.29
10.0.29
9.4.61
12.1.7
La vulnérabilité CVE-2026-5795 affecte le composant JaspiAuthenticator de Jetty, plus précisément le fichier JaspiAuthenticator.java. Elle est due à un défaut de nettoyage des métadonnées d'authentification stockées dans un ThreadLocal lors de certains flux d'authentification incomplets ou en cas d'erreur. Cette faille peut permettre à un utilisateur non privilégié de compromettre l'authentification, affectant les versions 12.1.0 à 12.1.7. Une correction est disponible dans la version 12.1.8.
La vulnérabilité CVE-2026-5795 dans org.eclipse.jetty.ee11:jetty-ee11-jaspi affecte les applications web utilisant Jetty pour l'authentification avec Jaspi. Le défaut réside dans la gestion des métadonnées d'authentification stockées dans ThreadLocal. Si un GroupPrincipalCallback est persisté dans ThreadLocal et que le processus d'authentification se termine prématurément (par exemple, en raison d'une erreur ou de l'omission d'un CallerPrincipalCallback obligatoire), les données d'authentification peuvent rester dans ThreadLocal. Cela pourrait potentiellement permettre à un attaquant, dans des scénarios spécifiques, de réutiliser ou de manipuler les informations d'authentification d'un utilisateur précédent, obtenant ainsi un accès non autorisé à des ressources protégées. La sévérité CVSS est de 7.4, ce qui indique un risque élevé. La mise à jour vers la version 12.1.8 est cruciale pour atténuer ce problème.
L'exploitation de cette vulnérabilité nécessite une connaissance approfondie du flux d'authentification Jaspi et la capacité de provoquer une terminaison prématurée du processus. Un attaquant pourrait tenter de manipuler les requêtes pour empêcher la complétion du CallerPrincipalCallback, ou d'induire des erreurs qui interrompent le flux d'authentification normal. Le succès de l'exploitation dépend de la configuration spécifique de l'application et de la présence d'autres facteurs de risque. La probabilité d'exploitation est considérée comme faible à modérée, mais l'impact potentiel est important, pouvant entraîner un accès non autorisé à des données sensibles ou à des fonctionnalités restreintes.
Organizations using Jetty EE11 Jaspi in their web applications, particularly those relying on it for authentication and authorization, are at risk. This includes deployments where Jetty is integrated with other Java EE components or used as a reverse proxy. Applications handling sensitive data or critical business processes are particularly vulnerable.
• java / server: Monitor Jetty logs for unusual authentication patterns or errors related to GroupPrincipalCallback and CallerPrincipalCallback.
grep -i 'GroupPrincipalCallback|CallerPrincipalCallback' /path/to/jetty/logs/jetty.log• java / server: Use a Java profiler to inspect ThreadLocal variables during authentication flows and identify instances where authentication metadata is not being properly cleared. • generic web: Examine authentication endpoints for unexpected behavior or responses that might indicate a bypass. • generic web: Check for unusual user sessions or access patterns that don't align with expected user behavior.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour la bibliothèque jetty-ee11-jaspi vers la version 12.1.8 ou supérieure. Cette version inclut une correction qui garantit que les métadonnées d'authentification dans ThreadLocal sont correctement effacées dans toutes les situations, même en cas d'erreurs ou de terminaison prématurée du processus d'authentification. Si la mise à jour immédiate n'est pas possible, examinez le code de votre application pour identifier et corriger toute logique qui pourrait dépendre du nettoyage approprié de ThreadLocal dans le contexte de l'authentification Jaspi. Des tests approfondis après toute modification sont essentiels pour garantir la sécurité.
Actualice Eclipse Jetty a la versión 9.4.61 o superior, 10.0.29 o superior, 11.0.29 o superior, 12.0.34 o superior, o 12.1.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema al limpiar correctamente los ThreadLocal variables después de las comprobaciones de autenticación iniciales, previniendo así la escalada de privilegios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Jaspi est un mécanisme d'authentification basé sur des normes de sécurité telles qu'OAuth 2.0 et OpenID Connect, utilisé dans Jetty pour protéger les ressources web.
ThreadLocal permet de stocker des données spécifiques à chaque thread d'exécution, ce qui peut être utile pour la gestion du contexte, mais nécessite un nettoyage minutieux pour éviter les fuites d'informations.
CVSS 7.4 indique un niveau de sévérité 'Élevé' pour la vulnérabilité, ce qui signifie qu'elle représente un risque important pour la sécurité de l'application.
Bien qu'il soit possible d'appliquer des correctifs manuels, il est fortement recommandé de mettre à jour vers la version 12.1.8 pour garantir une solution complète et éviter les problèmes de compatibilité potentiels.
Examinez votre code pour identifier toute dépendance au nettoyage de ThreadLocal et appliquez des mesures d'atténuation temporaires jusqu'à ce que vous puissiez mettre à jour la bibliothèque.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.