प्लेटफ़ॉर्म
java
घटक
org.eclipse.jetty.ee11:jetty-ee11-jaspi
में ठीक किया गया
12.1.8
12.0.34
11.0.29
10.0.29
9.4.61
12.1.7
Jetty के JaspiAuthenticator.java में एक सुरक्षा भेद्यता पाई गई है, जहाँ ThreadLocal में संग्रहीत प्रमाणीकरण मेटाडेटा को कुछ त्रुटि या अपूर्ण प्रमाणीकरण प्रवाह के दौरान लगातार साफ़ नहीं किया जाता है। इससे एक अनधिकृत उपयोगकर्ता प्रमाणीकरण प्राप्त कर सकता है, जिससे संभावित रूप से संवेदनशील डेटा तक पहुंच प्राप्त हो सकती है। यह भेद्यता Jetty-ee11-jaspi के संस्करण 12.1.0 से 12.1.7 तक के संस्करणों को प्रभावित करती है। इस समस्या को Jetty संस्करण 12.1.8 में ठीक कर दिया गया है।
CVE-2026-5795 org.eclipse.jetty.ee11:jetty-ee11-jaspi को प्रभावित करता है, जो Jetty का उपयोग करके Jaspi के साथ प्रमाणीकरण करने वाले वेब अनुप्रयोगों को प्रभावित करता है। यह दोष ThreadLocal में संग्रहीत प्रमाणीकरण मेटाडेटा के प्रबंधन में है। यदि GroupPrincipalCallback ThreadLocal में लगातार बना रहता है और प्रमाणीकरण प्रक्रिया समय से पहले समाप्त हो जाती है (उदाहरण के लिए, त्रुटि के कारण या आवश्यक CallerPrincipalCallback की कमी के कारण), तो प्रमाणीकरण डेटा ThreadLocal में रह सकता है। यह एक हमलावर को विशिष्ट परिदृश्यों में पिछले उपयोगकर्ता के प्रमाणीकरण जानकारी को पुन: उपयोग या हेरफेर करने की अनुमति दे सकता है, जिससे संरक्षित संसाधनों तक अनधिकृत पहुंच प्राप्त हो सकती है। CVSS गंभीरता 7.4 है, जो उच्च जोखिम का संकेत देता है। इस समस्या को कम करने के लिए संस्करण 12.1.8 में अपडेट करना महत्वपूर्ण है।
इस भेद्यता का शोषण करने के लिए Jaspi प्रमाणीकरण प्रवाह की गहरी समझ और प्रक्रिया को समय से पहले समाप्त करने की क्षमता की आवश्यकता होती है। एक हमलावर CallerPrincipalCallback के समापन को रोकने के लिए अनुरोधों में हेरफेर करने या सामान्य प्रमाणीकरण प्रवाह को बाधित करने वाली त्रुटियों को उत्पन्न करने का प्रयास कर सकता है। शोषण की सफलता विशिष्ट एप्लिकेशन कॉन्फ़िगरेशन और अन्य जोखिम कारकों की उपस्थिति पर निर्भर करती है। शोषण की संभावना को कम से मध्यम माना जाता है, लेकिन संभावित प्रभाव महत्वपूर्ण है, जिससे संवेदनशील डेटा या प्रतिबंधित कार्यात्मकताओं तक अनधिकृत पहुंच हो सकती है।
Organizations using Jetty EE11 Jaspi in their web applications, particularly those relying on it for authentication and authorization, are at risk. This includes deployments where Jetty is integrated with other Java EE components or used as a reverse proxy. Applications handling sensitive data or critical business processes are particularly vulnerable.
• java / server: Monitor Jetty logs for unusual authentication patterns or errors related to GroupPrincipalCallback and CallerPrincipalCallback.
grep -i 'GroupPrincipalCallback|CallerPrincipalCallback' /path/to/jetty/logs/jetty.log• java / server: Use a Java profiler to inspect ThreadLocal variables during authentication flows and identify instances where authentication metadata is not being properly cleared. • generic web: Examine authentication endpoints for unexpected behavior or responses that might indicate a bypass. • generic web: Check for unusual user sessions or access patterns that don't align with expected user behavior.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान jetty-ee11-jaspi लाइब्रेरी को संस्करण 12.1.8 या उच्चतर में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो यह सुनिश्चित करता है कि ThreadLocal में प्रमाणीकरण मेटाडेटा सभी स्थितियों में सही ढंग से साफ़ किया गया है, भले ही त्रुटियां हों या प्रमाणीकरण प्रक्रिया समय से पहले समाप्त हो जाए। यदि तत्काल अपडेट संभव नहीं है, तो Jaspi प्रमाणीकरण संदर्भ में ThreadLocal के उचित सफाई पर निर्भर करने वाले किसी भी तर्क की पहचान करने और ठीक करने के लिए अपने एप्लिकेशन कोड की जांच करें। किसी भी परिवर्तन के बाद पूरी तरह से परीक्षण करना सुरक्षा सुनिश्चित करने के लिए आवश्यक है।
Actualice Eclipse Jetty a la versión 9.4.61 o superior, 10.0.29 o superior, 11.0.29 o superior, 12.0.34 o superior, o 12.1.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema al limpiar correctamente los ThreadLocal variables después de las comprobaciones de autenticación iniciales, previniendo así la escalada de privilegios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Jaspi एक प्रमाणीकरण तंत्र है जो OAuth 2.0 और OpenID Connect जैसे सुरक्षा मानकों पर आधारित है, जिसका उपयोग वेब संसाधनों की सुरक्षा के लिए Jetty में किया जाता है।
ThreadLocal प्रत्येक निष्पादन थ्रेड के लिए विशिष्ट डेटा संग्रहीत करने की अनुमति देता है, जो संदर्भ प्रबंधन के लिए उपयोगी हो सकता है, लेकिन सूचना रिसाव से बचने के लिए सावधानीपूर्वक सफाई की आवश्यकता होती है।
CVSS 7.4 इस भेद्यता की गंभीरता को 'उच्च' इंगित करता है, जिसका अर्थ है कि यह एप्लिकेशन के लिए महत्वपूर्ण सुरक्षा जोखिम है।
हालांकि मैन्युअल पैचिंग संभव है, लेकिन पूरी तरह से समाधान सुनिश्चित करने और संभावित संगतता समस्याओं से बचने के लिए संस्करण 12.1.8 में अपडेट करने की दृढ़ता से अनुशंसा की जाती है।
अपने कोड की जांच करें ताकि ThreadLocal सफाई पर निर्भरता की पहचान की जा सके और जब तक आप लाइब्रेरी को अपडेट नहीं कर सकते, तब तक अस्थायी शमन उपाय लागू करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।