Platform
java
Component
undertow
Opgelost in
1.10.0
2.5.4
CVE-2026-28368 is een kwetsbaarheid in Undertow die een kwaadwillende externe aanvaller in staat stelt om speciaal ontworpen verzoeken te construeren. Deze verzoeken bevatten header namen die anders worden geparseerd door Undertow dan door upstream proxies. Dit verschil in header interpretatie kan worden misbruikt voor request smuggling aanvallen, waardoor beveiligingscontroles kunnen worden omzeild en ongeautoriseerde toegang tot bronnen mogelijk is. De impact is hoog, omdat het potentieel ongeautoriseerde toegang tot gevoelige informatie mogelijk maakt. Er is nog geen officiële patch beschikbaar.
Er is een kritieke kwetsbaarheid (CVE-2026-28368) geïdentificeerd in de Red Hat Build van Apache Camel voor Spring Boot 4, gerelateerd aan Undertow. Deze kwetsbaarheid stelt een externe aanvaller in staat om speciaal ontworpen verzoeken te maken waarbij headernamen anders worden geparseerd door Undertow in vergelijking met upstream proxies. Dit verschil in headerinterpretatie kan worden misbruikt om request smuggling-aanvallen uit te voeren, waardoor beveiligingscontroles mogelijk worden omzeild en ongeautoriseerde bronnen worden benaderd. De CVSS is beoordeeld met een score van 8,7, wat een hoog risico aangeeft. Het is cruciaal om te updaten naar versie 2.5.4 om dit risico te beperken.
De kwetsbaarheid wordt misbruikt door HTTP-verzoeken te creëren die verschillen benutten in de manier waarop Undertow en upstream proxies headernamen analyseren. Dit stelt de aanvaller in staat om extra HTTP-verzoeken binnen het oorspronkelijke verzoek te 'smokkelen', wat kan leiden tot toegang tot beschermde bronnen of ongeautoriseerde acties. De complexiteit van de exploitatie hangt af van de specifieke infrastructuurconfiguratie, maar de mogelijkheid om beveiligingscontroles te omzeilen is aanzienlijk. Het ontbreken van een KEV (Knowledge Engineering Vector) duidt op beperkte informatie over de exploitatie, maar de ernst van de kwetsbaarheid vereist onmiddellijke actie.
Organizations utilizing Undertow as their web server or servlet container, particularly those deploying applications behind reverse proxies like Apache or Nginx, are at risk. Legacy applications relying on older, vulnerable Undertow versions are especially susceptible. Shared hosting environments where Undertow is used as a common component also present a heightened risk.
• java / server:
# Check Undertow version
java -version
# Monitor logs for unusual header patterns (e.g., multiple Content-Length headers)
grep -i 'content-length' /path/to/undertow.log• generic web:
# Check for unusual HTTP headers in access logs
grep -i 'content-length' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.11% (29% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor deze kwetsbaarheid is het updaten naar versie 2.5.4 van de Red Hat Build van Apache Camel voor Spring Boot 4. Deze versie bevat een fix die de inconsistente headerinterpretatie aanpakt. Ondertussen, als tijdelijke maatregel, dient u uw upstream proxy-configuraties te beoordelen en te versterken om de potentiële impact van request smuggling-aanvallen te minimaliseren. Het monitoren van serverlogs op verdachte verzoekpatronen is ook een goede praktijk. De update is de meest effectieve oplossing en wordt ten zeerste aanbevolen.
Actualice Undertow a la versión 2.5.4 o superior para mitigar la vulnerabilidad de contrabando de solicitudes. Verifique las notas de la versión de Undertow para obtener instrucciones de actualización específicas para su entorno. Asegúrese de probar exhaustivamente después de la actualización para garantizar la compatibilidad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Request smuggling is een aanval waarbij een aanvaller extra HTTP-verzoeken in een bestaand verzoek invoegt, waarbij hij verschillen in de manier waarop verschillende servers of proxies headers interpreteren misbruikt.
Versie 2.5.4 bevat een specifieke fix voor deze kwetsbaarheid, die de inconsistente headerinterpretatie aanpakt en request smuggling-aanvallen voorkomt.
Als tijdelijke maatregel dient u uw upstream proxy-configuraties te beoordelen en te versterken en serverlogs te monitoren op verdachte verzoekpatronen.
Een CVSS-score van 8,7 duidt op een hoog niveau van ernst, wat betekent dat de kwetsbaarheid een aanzienlijk beveiligingsrisico vormt.
Een KEV (Knowledge Engineering Vector) is een document dat gedetailleerde informatie over de exploitatie van een kwetsbaarheid bevat. Het ontbreken van een KEV duidt op beperkte informatie over de exploitatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.