प्लेटफ़ॉर्म
java
घटक
org.eclipse.jetty:jetty-http
में ठीक किया गया
12.1.7
12.0.33
11.0.28
10.0.28
9.4.60
12.1.7
CVE-2026-2332 Jetty HTTP सर्वर में एक भेद्यता है जो HTTP/1.1 chunked transfer encoding extension values में quoted strings को गलत तरीके से पार्स करने के कारण request smuggling हमलों को सक्षम करती है। इस भेद्यता का प्रभाव डेटा चोरी या अनधिकृत पहुंच हो सकता है। यह भेद्यता Jetty HTTP के संस्करणों ≤12.1.6 को प्रभावित करती है। 12.1.7 संस्करण में इस समस्या का समाधान किया गया है।
Eclipse Jetty में CVE-2026-2332 HTTP/1.1 चंक ट्रांसफर एन्कोडिंग एक्सटेंशन वैल्यू में उद्धरण चिह्नों में स्ट्रिंग्स के गलत पार्सिंग के कारण HTTP अनुरोध स्मग्लिंग हमलों को सक्षम करता है। यह खामी इसलिए होती है क्योंकि Jetty उद्धरण चिह्नों के भीतर होने पर चंक एन्कोडिंग एक्सटेंशन के सिंटैक्स को ठीक से मान्य नहीं करता है। एक हमलावर इस खामी का फायदा उठाकर दुर्भावनापूर्ण HTTP अनुरोध भेज सकता है जिन्हें प्रॉक्सी सर्वर और बैकएंड सर्वर अलग-अलग व्याख्या करते हैं, जिससे अनधिकृत संसाधनों तक पहुंच या दुर्भावनापूर्ण कोड का निष्पादन हो सकता है। CVSS गंभीरता 7.4 है, जो उच्च जोखिम का संकेत देती है। इस जोखिम को कम करने के लिए संस्करण 12.1.7 में अपडेट करना महत्वपूर्ण है।
यह भेद्यता HTTP अनुरोध स्मग्लिंग के लिए 'Funky Chunks' तकनीकों का लाभ उठाती है। हमलावर प्रॉक्सी सर्वर और बैकएंड सर्वर को अनुरोधों को अलग-अलग व्याख्या करने के लिए प्रेरित करने के लिए चंक ट्रांसफर एन्कोडिंग हेडर में हेरफेर करता है। ट्रांसफर एन्कोडिंग वैल्यू में उद्धरण चिह्नों का उपयोग Jetty द्वारा ठीक से नहीं संभाले जाने वाले एक विशिष्ट भेद्यता को प्रस्तुत करता है। सफल शोषण के लिए हमलावर को प्रारंभिक HTTP अनुरोध को नियंत्रित करने और उसमें दुर्भावनापूर्ण चंक ट्रांसफर एन्कोडिंग हेडर शामिल करने में सक्षम होना आवश्यक है। शोषण की जटिलता प्रॉक्सी और बैकएंड सर्वर कॉन्फ़िगरेशन पर निर्भर करती है।
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-2332 को कम करने का मुख्य समाधान Eclipse Jetty को संस्करण 12.1.7 या उच्चतर में अपडेट करना है। इस संस्करण में उद्धरण स्ट्रिंग पार्सिंग समस्या को संबोधित करने वाला एक फिक्स शामिल है। इसके अतिरिक्त, मजबूत सुरक्षा नीतियों को लागू करने के लिए सर्वर कॉन्फ़िगरेशन की समीक्षा करें, जैसे कि इनपुट सत्यापन और HTTP अनुरोध की लंबाई को सीमित करना। चंक ट्रांसफर एन्कोडिंग से संबंधित संदिग्ध पैटर्न के लिए सर्वर लॉग की निगरानी भी हमलों का पता लगाने और रोकने में मदद कर सकती है। दुर्भावनापूर्ण ट्रैफ़िक को फ़िल्टर करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करने पर विचार करें।
Actualice Eclipse Jetty a la versión 12.1.7 o superior, 12.0.33 o superior, 11.0.28 o superior, 10.0.28 o superior, o 9.4.60 o superior para mitigar la vulnerabilidad de smuggling de solicitudes HTTP. Esta vulnerabilidad permite a un atacante inyectar solicitudes maliciosas aprovechando el manejo incorrecto de las extensiones de bloque en el analizador HTTP/1.1.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक हमला तकनीक है जो प्रॉक्सी सर्वर और बैकएंड सर्वर द्वारा HTTP अनुरोधों को संसाधित करने के तरीके में अंतर का फायदा उठाती है, जिससे एक हमलावर वैध अनुरोधों के बीच दुर्भावनापूर्ण अनुरोध सम्मिलित कर सकता है।
संस्करण 12.1.7 में CVE-2026-2332 के लिए एक विशिष्ट फिक्स शामिल है, जो उद्धरण स्ट्रिंग पार्सिंग भेद्यता को संबोधित करता है।
अपडेट के अलावा, इनपुट सत्यापन, HTTP अनुरोध की लंबाई को सीमित करना और WAF का उपयोग करने पर विचार करें।
चंक ट्रांसफर एन्कोडिंग और अनुरोध स्मग्लिंग से संबंधित संदिग्ध पैटर्न के लिए सर्वर लॉग की निगरानी करें।
घुसपैठ परीक्षण उपकरण HTTP अनुरोध स्मग्लिंग भेद्यताओं की पहचान करने में मदद कर सकते हैं, जिसमें 'Funky Chunks' पर आधारित वेरिएंट शामिल हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।