UNKNOWNCVE-2026-28368
CVE-2026-28368: Undertowリクエスト・スマグリング脆弱性
プラットフォーム
java
コンポーネント
undertow
修正バージョン
2.5.4
Undertowに存在する脆弱性CVE-2026-28368は、リモートの攻撃者が特別に細工されたリクエストを送信し、ヘッダー名がUndertowと上流プロキシで異なる解釈をされることで発生します。この差異を悪用することで、リクエスト・スマグリング攻撃が可能となり、セキュリティ制御を迂回し、不正なリソースへのアクセスを許してしまう可能性があります。影響を受けるバージョンは特定されていません。現在、この問題に対する公式な修正プログラムは提供されていません。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
CVE-2026-28368とは何ですか?
CVE-2026-28368は、Undertowにおけるリクエスト・スマグリングの脆弱性です。ヘッダーの解釈の違いを悪用し、セキュリティ制御を回避する可能性があります。
この脆弱性の影響を受けますか?
Undertowを使用している場合、この脆弱性の影響を受ける可能性があります。特に、上流プロキシを使用している環境では注意が必要です。影響を受けるバージョンはまだ特定されていません。
どのように修正または軽減できますか?
現在、公式な修正プログラムは提供されていません。WAFなどでリクエストを厳密に検証することで、ある程度のリスク軽減が可能です。Undertowのアップデート情報を注視してください。