UNKNOWNCVE-2026-28367
CVE-2026-28367: Undertowリクエストスマグリング脆弱性
プラットフォーム
java
コンポーネント
apache-undertow
修正バージョン
2.5.4
Undertowに存在する脆弱性で、リモートの攻撃者が`\r\r\r`をヘッダーブロックターミネーターとして送信することで悪用できます。これにより、Apache Traffic ServerやGoogle Cloud Classic Application Load Balancerなどの特定のプロキシサーバーでリクエストスマグリングが発生し、不正アクセスやリクエストの操作につながる可能性があります。影響を受けるのはUndertowです。現在、公式な修正パッチは提供されていません。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
CVE-2026-28367とは何ですか?
Undertowに存在するリクエストスマグリングの脆弱性です。特定のプロキシサーバーを経由して、不正なリクエストを送信される可能性があります。
この脆弱性の影響を受けますか?
Undertowを使用しており、かつApache Traffic ServerやGoogle Cloud Classic Application Load Balancerなどの影響を受けるプロキシサーバーを使用している場合、影響を受ける可能性があります。
どのように修正または軽減できますか?
現時点では公式な修正パッチは提供されていません。プロキシサーバーの設定を見直し、リクエストの検証を強化することを検討してください。