HIGHCVE-2026-2332CVSS 7.4

チャンク拡張引用文字列解析を介した HTTP リクエストスモグリング

プラットフォーム

java

コンポーネント

org.eclipse.jetty:jetty-http

修正版

12.1.7

12.0.33

11.0.28

10.0.28

9.4.60

12.1.7

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

Jetty HTTP の脆弱性により、HTTP/1.1 チャンク化転送エンコーディング拡張値の引用文字列の解析に誤りが発生し、リクエストスモッグ攻撃を招く可能性があります。この脆弱性は、Funky Chunks の研究を基に発見されました。影響を受けるバージョンは Jetty HTTP 12.1.6 以前です。12.1.7 以降にアップデートすることで修正されています。

影響と攻撃シナリオ

Eclipse Jetty の CVE-2026-2332 は、HTTP/1.1 のチャンク転送エンコーディング拡張値内の引用符で囲まれた文字列の誤った解析により、HTTP リクエストスモグリング攻撃を可能にします。この欠陥は、Jetty が引用符で囲まれたチャンクエンコーディング拡張の構文を適切に検証しないために発生します。攻撃者は、プロキシサーバーとバックエンドサーバーがリクエストを異なる解釈する悪意のある HTTP リクエストを送信することでこれを悪用できます。これにより、リソースへの不正アクセスや悪意のあるコードの実行につながる可能性があります。CVSS 重大度は 7.4 で、高いリスクを示します。このリスクを軽減するために、バージョン 12.1.7 へのアップデートを適用することが重要です。

悪用の状況

この脆弱性は、HTTP リクエストスモグリングのための 'Funky Chunks' 技術を利用します。攻撃者は、プロキシサーバーとバックエンドサーバーを欺いてリクエストを異なる解釈させるために、チャンク転送エンコーディングヘッダーを操作します。転送エンコーディングの値で引用符を使用すると、Jetty が正しく処理しない特定の脆弱性が導入されます。成功した悪用には、攻撃者が初期の HTTP リクエストを制御し、悪意のあるチャンク転送エンコーディングヘッダーを含めることができる必要があります。悪用の複雑さは、プロキシサーバーとバックエンドサーバーの構成によって異なります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントorg.eclipse.jetty:jetty-http

ベンダーosv

影響範囲修正版

12.1.0 – 12.1.612.1.7

12.0.0 – 12.0.3212.0.33

11.0.0 – 11.0.2711.0.28

10.0.0 – 10.0.2710.0.28

9.4.0 – 9.4.599.4.60

12.1.012.1.7

弱点分類 (CWE)

CWE-444

タイムライン

予約済み2026-02-11
公開日2026-04-14
EPSS 更新日2026-04-21

緩和策と回避策

CVE-2026-2332 を軽減するための主な解決策は、Eclipse Jetty をバージョン 12.1.7 以降にアップデートすることです。このバージョンには、引用符で囲まれた文字列の解析の問題を修正する修正が含まれています。さらに、入力検証や HTTP リクエストの長さを制限するなど、堅牢なセキュリティポリシーが実装されていることを確認するために、サーバー構成を確認してください。チャンク転送エンコーディングに関連する疑わしいパターンをサーバーログで監視することも、攻撃を検出し、防止するのに役立ちます。Web Application Firewalls (WAF) を使用して、悪意のあるトラフィックをフィルタリングすることを検討してください。

修正方法翻訳中…

Actualice Eclipse Jetty a la versión 12.1.7 o superior, 12.0.33 o superior, 11.0.28 o superior, 10.0.28 o superior, o 9.4.60 o superior para mitigar la vulnerabilidad de smuggling de solicitudes HTTP.  Esta vulnerabilidad permite a un atacante inyectar solicitudes maliciosas aprovechando el manejo incorrecto de las extensiones de bloque en el analizador HTTP/1.1.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-2332 とは何ですか？（org.eclipse.jetty:jetty-http）

これは、プロキシサーバーとバックエンドサーバーが HTTP リクエストを処理する方法の違いを利用する攻撃技術であり、攻撃者が正規のリクエストの間に悪意のあるリクエストを挿入できます。

org.eclipse.jetty:jetty-http の CVE-2026-2332 による影響を受けていますか？

バージョン 12.1.7 には、CVE-2026-2332 のための特定の修正が含まれており、引用符で囲まれた文字列の解析の脆弱性が修正されています。

org.eclipse.jetty:jetty-http の CVE-2026-2332 を修正するにはどうすればよいですか？

アップデートに加えて、入力検証、HTTP リクエストの長さを制限、および WAF の使用を検討してください。

CVE-2026-2332 は積極的に悪用されていますか？

チャンク転送エンコーディングとリクエストスモグリングに関連する疑わしいパターンについて、サーバーログを監視してください。

CVE-2026-2332 に関する org.eclipse.jetty:jetty-http の公式アドバイザリはどこで確認できますか？

'Funky Chunks' に基づくバリアントを含む、HTTP リクエストスモグリングの脆弱性を特定するのに役立つ侵入テストツールがあります。