プラットフォーム
java
コンポーネント
org.eclipse.jetty.ee11:jetty-ee11-jaspi
修正版
12.1.8
12.0.34
11.0.29
10.0.29
9.4.61
12.1.7
JettyのJaspiAuthenticatorコンポーネントにおいて、認証情報漏洩の脆弱性が発見されました。これは、エラー発生時や認証フローが完了しない場合に、ThreadLocalに保存された認証メタデータが適切にクリアされないことが原因です。この脆弱性は、認証情報が再利用される可能性があり、不正なユーザーによるアクセスを許してしまう可能性があります。影響を受けるバージョンはJetty 12.1.0から12.1.7です。12.1.8へのアップデートで修正されています。
CVE-2026-5795 は、org.eclipse.jetty.ee11:jetty-ee11-jaspi に影響を与え、Jetty を使用して Jaspi で認証を行う Web アプリケーションに影響します。この欠陥は、ThreadLocal に格納されている認証メタデータの管理にあります。GroupPrincipalCallback が ThreadLocal に永続化され、認証プロセスが予期せず終了した場合 (たとえば、エラーまたは必須の CallerPrincipalCallback の欠落による)、認証データが ThreadLocal に残る可能性があります。これにより、特定のシナリオで攻撃者が以前のユーザーの認証情報を再利用または操作し、保護されたリソースへの不正アクセスを許可する可能性があります。CVSS の深刻度は 7.4 で、高いリスクを示しています。この問題を軽減するために、バージョン 12.1.8 に更新することが重要です。
この脆弱性の悪用には、Jaspi 認証フローに関する深い理解と、プロセスの予期しない終了をトリガーする能力が必要です。攻撃者は、CallerPrincipalCallback の完了を防ぐためにリクエストを操作したり、通常の認証フローを中断するエラーを引き起こしたりする可能性があります。悪用の成功は、特定のアプリケーション構成とその他のリスク要因の存在に依存します。悪用の可能性は低から中程度と見なされていますが、潜在的な影響は大きく、機密データや制限付き機能への不正アクセスにつながる可能性があります。
Organizations using Jetty EE11 Jaspi in their web applications, particularly those relying on it for authentication and authorization, are at risk. This includes deployments where Jetty is integrated with other Java EE components or used as a reverse proxy. Applications handling sensitive data or critical business processes are particularly vulnerable.
• java / server: Monitor Jetty logs for unusual authentication patterns or errors related to GroupPrincipalCallback and CallerPrincipalCallback.
grep -i 'GroupPrincipalCallback|CallerPrincipalCallback' /path/to/jetty/logs/jetty.log• java / server: Use a Java profiler to inspect ThreadLocal variables during authentication flows and identify instances where authentication metadata is not being properly cleared. • generic web: Examine authentication endpoints for unexpected behavior or responses that might indicate a bypass. • generic web: Check for unusual user sessions or access patterns that don't align with expected user behavior.
disclosure
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
CVSS ベクトル
推奨される解決策は、jetty-ee11-jaspi ライブラリをバージョン 12.1.8 以降に更新することです。このバージョンには、ThreadLocal 内の認証メタデータがエラーや認証プロセスの予期しない終了の場合でも、あらゆる状況で正しくクリアされるようにする修正が含まれています。直ちに更新できない場合は、Jaspi 認証コンテキスト内で ThreadLocal の適切なクリーンアップに依存する可能性のあるアプリケーションコードを調べて修正してください。変更後の徹底的なテストは、セキュリティを確保するために不可欠です。
Actualice Eclipse Jetty a la versión 9.4.61 o superior, 10.0.29 o superior, 11.0.29 o superior, 12.0.34 o superior, o 12.1.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema al limpiar correctamente los ThreadLocal variables después de las comprobaciones de autenticación iniciales, previniendo así la escalada de privilegios.
脆弱性分析と重要アラートをメールでお届けします。
Jaspi は、OAuth 2.0 および OpenID Connect などのセキュリティ標準に基づいた認証メカニズムであり、Web リソースを保護するために Jetty で使用されます。
ThreadLocal は、実行スレッドごとに固有のデータを格納できるため、コンテキスト管理に役立ちますが、情報漏洩を防ぐために慎重なクリーンアップが必要です。
CVSS 7.4 は、この脆弱性の深刻度を「高」と示しており、アプリケーションにとって重大なセキュリティリスクを表しています。
手動パッチが可能な場合でも、完全なソリューションを確保し、潜在的な互換性の問題を回避するために、バージョン 12.1.8 に更新することを強くお勧めします。
コードを調べて、ThreadLocal クリーンアップへの依存関係を特定し、ライブラリを更新できるまで一時的な軽減策を適用してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。