CVE-2026-28367: Undertow Request Smuggling Kwetsbaarheid
Platform
java
Component
apache-undertow
Opgelost in
2.5.4
CVE-2026-28367 is een request smuggling kwetsbaarheid in Undertow. Een kwaadwillende aanvaller kan deze kwetsbaarheid misbruiken door `\r\r\r` als header block terminator te verzenden. Dit kan leiden tot request smuggling met bepaalde proxy servers, zoals oudere versies van Apache Traffic Server en Google Cloud Classic Application Load Balancer, wat mogelijk resulteert in ongeautoriseerde toegang of manipulatie van web requests. De kwetsbaarheid bevindt zich in Undertow. Er is momenteel geen officiële patch beschikbaar.
Hoe te verhelpen
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Veelgestelde vragen
Wat is CVE-2026-28367?
CVE-2026-28367 is een request smuggling kwetsbaarheid in Undertow die misbruik maakt van onjuiste header verwerking.
Ben ik getroffen door CVE-2026-28367?
U bent mogelijk getroffen als u Undertow gebruikt in combinatie met bepaalde proxy servers zoals oudere versies van Apache Traffic Server of Google Cloud Classic Application Load Balancer.
Hoe kan ik CVE-2026-28367 verhelpen?
Er is momenteel geen officiële patch beschikbaar. Overweeg het gebruik van een Web Application Firewall (WAF) of het configureren van uw proxy server om dergelijke aanvallen te mitigeren.
Bewaak uw afhankelijkheden automatisch
Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.
Gratis beginnen