Platform
java
Component
org.eclipse.jetty:jetty-http
Opgelost in
12.1.7
12.0.33
11.0.28
10.0.28
9.4.60
12.1.7
Deze kwetsbaarheid in Jetty HTTP, onderdeel van de Eclipse projecten, maakt request smuggling aanvallen mogelijk door een incorrecte parsing van quoted strings in HTTP/1.1 chunked transfer encoding extensie waarden. Dit stelt aanvallers in staat om HTTP-verzoeken te manipuleren en te smokkelen, wat kan leiden tot ongeautoriseerde toegang of andere schadelijke acties. De kwetsbaarheid treft versies van Jetty HTTP tot en met 12.1.6. Een patch is beschikbaar in versie 12.1.7.
CVE-2026-2332 in Eclipse Jetty maakt HTTP-request smuggling-aanvallen mogelijk door een onjuiste parsing van strings tussen aanhalingstekens in de waarden van HTTP/1.1 chunked transfer encoding extensies. Deze fout treedt op omdat Jetty de syntax van chunked encoding extensies niet correct valideert wanneer deze tussen aanhalingstekens staan. Een aanvaller kan dit misbruiken door kwaadaardige HTTP-verzoeken te verzenden die anders worden geïnterpreteerd door de proxyservers en de backend-server, wat mogelijk leidt tot ongeautoriseerde toegang tot resources of de uitvoering van kwaadaardige code. De CVSS-severity is 7.4, wat een hoog risico aangeeft. Het is cruciaal om de update naar versie 12.1.7 toe te passen om dit risico te beperken.
Deze kwetsbaarheid maakt gebruik van 'Funky Chunks'-technieken voor HTTP-request smuggling. De aanvaller manipuleert chunked transfer encoding headers om de proxyservers en de backend-server te misleiden om verzoeken anders te interpreteren. Het gebruik van aanhalingstekens in de transfer encoding waarden introduceert een specifieke kwetsbaarheid die Jetty niet correct afhandelt. Een succesvolle exploitatie vereist dat de aanvaller de controle heeft over het initiële HTTP-verzoek en dit kan manipuleren om kwaadaardige chunked transfer encoding headers te bevatten. De complexiteit van de exploitatie hangt af van de configuratie van de proxy- en backend-server.
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste oplossing om CVE-2026-2332 te beperken is het updaten van Eclipse Jetty naar versie 12.1.7 of hoger. Deze versie bevat een fix die het probleem met de parsing van strings tussen aanhalingstekens aanpakt. Controleer bovendien de serverconfiguratie om ervoor te zorgen dat robuuste beveiligingsbeleid zijn geïmplementeerd, zoals invoervalidatie en het beperken van de lengte van HTTP-verzoeken. Het monitoren van serverlogs op verdachte patronen met betrekking tot chunked transfer encoding kan ook helpen aanvallen te detecteren en te voorkomen. Overweeg het gebruik van Web Application Firewalls (WAF's) om kwaadaardig verkeer te filteren.
Actualice Eclipse Jetty a la versión 12.1.7 o superior, 12.0.33 o superior, 11.0.28 o superior, 10.0.28 o superior, o 9.4.60 o superior para mitigar la vulnerabilidad de smuggling de solicitudes HTTP. Esta vulnerabilidad permite a un atacante inyectar solicitudes maliciosas aprovechando el manejo incorrecto de las extensiones de bloque en el analizador HTTP/1.1.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een aanvalstechniek die verschillen in de manier waarop proxy-servers en backend-servers HTTP-verzoeken verwerken uitbuit, waardoor een aanvaller kwaadaardige verzoeken tussen legitieme verzoeken kan invoegen.
Versie 12.1.7 bevat een specifieke fix voor CVE-2026-2332, die de kwetsbaarheid van de parsing van strings tussen aanhalingstekens aanpakt.
Naast het updaten, overweeg invoervalidatie, het beperken van de lengte van HTTP-verzoeken en het gebruik van een WAF.
Monitoren van serverlogs op verdachte patronen met betrekking tot chunked transfer encoding en request smuggling.
Penetratietesttools kunnen helpen bij het identificeren van HTTP-request smuggling-kwetsbaarheden, waaronder varianten gebaseerd op 'Funky Chunks'.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.