Platform
java
Component
apache-undertow
Opgelost in
1.10.0
2.5.4
CVE-2026-28367 is een request smuggling kwetsbaarheid in Undertow. Een kwaadwillende aanvaller kan deze kwetsbaarheid misbruiken door \r\r\r als header block terminator te verzenden. Dit kan leiden tot request smuggling met bepaalde proxy servers, zoals oudere versies van Apache Traffic Server en Google Cloud Classic Application Load Balancer, wat mogelijk resulteert in ongeautoriseerde toegang of manipulatie van web requests. De kwetsbaarheid bevindt zich in Undertow. Er is momenteel geen officiële patch beschikbaar.
Er is een kritieke kwetsbaarheid (CVE-2026-28367) geïdentificeerd in de Red Hat Build van Apache Camel voor Spring Boot 4, die de Undertow-component beïnvloedt. Deze kwetsbaarheid stelt een externe aanvaller in staat om het systeem uit te buiten door \r\r\r te verzenden als een header-blok terminator. Dit kan 'request smuggling'-aanvallen vergemakkelijken in combinatie met bepaalde proxyservers, zoals oudere versies van Apache Traffic Server en Google Cloud Classic Application Load Balancer. Een succesvolle exploitatie kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens, manipulatie van webverzoeken en mogelijk tot de uitvoering van kwaadaardige code op de server.
De kwetsbaarheid wordt uitgebuit via HTTP-header manipulatie. Een aanvaller stuurt een verzoek met een \r\r\r-sequentie in een header, waardoor de Undertow-server wordt misleid om het einde van het verzoek verkeerd te interpreteren. Dit, in combinatie met de manier waarop bepaalde proxyservers verzoeken verwerken, kan de aanvaller in staat stellen om extra verzoeken 'te smokkelen', die vervolgens worden verwerkt als legitieme verzoeken. De kwetsbaarheid is vooral relevant voor omgevingen die verouderde of verkeerd geconfigureerde proxyservers gebruiken, zoals Apache Traffic Server of Google Cloud Classic Application Load Balancer. Exploitatie vereist specifieke kennis van hoe proxyservers werken en HTTP-header manipulatie.
Organizations using Apache Undertow as a servlet container, particularly those deploying it behind proxy servers like Apache Traffic Server or Google Cloud Classic Application Load Balancer, are at significant risk. Legacy systems running older versions of Undertow and those with misconfigured proxy servers are especially vulnerable. Shared hosting environments where multiple users share the same Undertow instance should also be prioritized for remediation.
• linux / server:
journalctl -u undertow -g "header block terminator"• generic web:
curl -I 'http://your-undertow-server/path' -H 'Header: Malicious\r\r\rValue' | grep -i 'HTTP/1.1 200 OK'• linux / server:
lsof -i :8080 | grep undertowdisclosure
patch
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om te upgraden naar versie 2.5.4 of hoger van de Red Hat Build van Apache Camel voor Spring Boot 4. Deze update bevat een fix die de kwetsbaarheid verzacht door header-blok terminators correct af te handelen. In de tussentijd wordt, als tijdelijke mitigatie, aanbevolen om proxyservers uit te schakelen of zorgvuldig te configureren die mogelijk kwetsbaar zijn voor 'request smuggling'-aanvallen. Het is cruciaal om de configuraties van proxyservers te controleren en ervoor te zorgen dat ze zijn bijgewerkt met de nieuwste beveiligingspatches. Het wordt ook aanbevolen om serverlogs te monitoren op verdachte patronen van 'request smuggling'-activiteit.
Actualice a la versión 2.5.4 o superior para mitigar la vulnerabilidad de contrabando de solicitudes. Esta actualización corrige la forma en que Undertow maneja los terminadores de bloque de encabezados, previniendo la explotación a través de secuencias ` `.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
'Request smuggling' is een aanval waarbij een aanvaller HTTP-verzoeken stuurt die anders worden geïnterpreteerd door de webserver en de proxy, waardoor de aanvaller extra verzoeken kan 'smokkelen' en mogelijk ongeautoriseerde toegang tot bronnen kan krijgen.
Alle versies vóór 2.5.4 van de Red Hat Build van Apache Camel voor Spring Boot 4 zijn kwetsbaar.
Als tijdelijke maatregel moet u kwetsbare proxyservers uitschakelen of zorgvuldig configureren en serverlogs monitoren.
Er zijn webbeveiligingstools die kunnen helpen bij het detecteren van verdachte patronen van 'request smuggling'-activiteit, maar detectie kan complex zijn.
U kunt meer informatie over de kwetsbaarheid vinden op de beveiligingsbronnen van Red Hat en Apache.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.