Platform
java
Component
org.eclipse.jetty.ee11:jetty-ee11-jaspi
Opgelost in
12.1.8
12.0.34
11.0.29
10.0.29
9.4.61
12.1.7
Een kwetsbaarheid is ontdekt in Jetty EE11 Jaspi, specifiek in de JaspiAuthenticator.java. Deze kwetsbaarheid ontstaat doordat authenticatiemeta data, opgeslagen in een ThreadLocal, niet consistent wordt gewist tijdens fouten of onvolledige authenticatieprocessen. Dit kan leiden tot ongeautoriseerde toegang voor gebruikers. De kwetsbaarheid treft Jetty EE11 Jaspi versies 12.1.0 tot en met 12.1.7, en is verholpen in versie 12.1.8.
Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerd toegang te verkrijgen tot systemen die Jetty EE11 Jaspi gebruiken. Door een onvolledig authenticatieproces te misbruiken, kan een aanvaller mogelijk de authenticatiemeta data in de ThreadLocal overnemen en deze gebruiken om zich voor te doen als een andere gebruiker. Dit kan leiden tot data-inbreuken, ongeautoriseerde wijzigingen aan configuraties en verdere toegang tot het systeem. De impact is vergelijkbaar met situaties waarin sessie-informatie verkeerd wordt beheerd, waardoor een aanvaller de identiteit van een legitieme gebruiker kan overnemen.
Op het moment van publicatie (2026-04-14) is er geen publieke exploit beschikbaar. De kwetsbaarheid is echter van HIGH severity, wat een verhoogd risico op uitbuiting impliceert. Het is aan te raden om de kwetsbaarheid serieus te nemen en onmiddellijk maatregelen te treffen om deze te mitigeren. Er is geen vermelding in de CISA KEV catalogus op het moment van publicatie.
Organizations using Jetty EE11 Jaspi in their web applications, particularly those relying on it for authentication and authorization, are at risk. This includes deployments where Jetty is integrated with other Java EE components or used as a reverse proxy. Applications handling sensitive data or critical business processes are particularly vulnerable.
• java / server: Monitor Jetty logs for unusual authentication patterns or errors related to GroupPrincipalCallback and CallerPrincipalCallback.
grep -i 'GroupPrincipalCallback|CallerPrincipalCallback' /path/to/jetty/logs/jetty.log• java / server: Use a Java profiler to inspect ThreadLocal variables during authentication flows and identify instances where authentication metadata is not being properly cleared. • generic web: Examine authentication endpoints for unexpected behavior or responses that might indicate a bypass. • generic web: Check for unusual user sessions or access patterns that don't align with expected user behavior.
disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar Jetty EE11 Jaspi versie 12.1.8 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van Web Application Firewall (WAF) regels die pogingen tot misbruik van de authenticatieprocessen detecteren en blokkeren. Controleer ook de Jetty configuratie om te verzekeren dat er geen onnodige privileges worden verleend aan gebruikers. Na de upgrade, verifieer de fix door te proberen een authenticatieproces te forceren dat de GroupPrincipalCallback en CallerPrincipalCallback omvat en controleer of de ThreadLocal correct wordt gewist.
Actualice Eclipse Jetty a la versión 9.4.61 o superior, 10.0.29 o superior, 11.0.29 o superior, 12.0.34 o superior, o 12.1.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema al limpiar correctamente los ThreadLocal variables después de las comprobaciones de autenticación iniciales, previniendo así la escalada de privilegios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-5795 is a security vulnerability in Jetty EE11 Jaspi allowing attackers to bypass authentication due to improper ThreadLocal clearing, potentially leading to unauthorized access.
You are affected if you are using Jetty EE11 Jaspi versions 12.1.0 through 12.1.7. Upgrade to version 12.1.8 or later to mitigate the risk.
The recommended fix is to upgrade to Jetty EE11 Jaspi version 12.1.8 or a later version that addresses this vulnerability.
As of now, there are no publicly known active exploits or campaigns targeting CVE-2026-5795, but it remains a critical security concern.
Refer to the official Eclipse Jetty project website and security advisories for the most up-to-date information regarding CVE-2026-5795.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.