Plataforma
java
Componente
org.eclipse.jetty:jetty-http
Corrigido em
12.1.7
12.0.33
11.0.28
10.0.28
9.4.60
12.1.7
A vulnerabilidade CVE-2026-2332 afeta o componente Jetty HTTP, especificamente versões até 12.1.6. Ela permite ataques de request smuggling devido a uma análise inadequada de strings entre aspas em valores de extensões de codificação de transferência em partes (chunked transfer encoding) HTTP/1.1, conforme descrito na pesquisa "Funky Chunks". A atualização para a versão 12.1.7 corrige essa falha de segurança.
A vulnerabilidade CVE-2026-2332 no Eclipse Jetty permite ataques de contrabando de requisições HTTP através de uma análise incorreta de strings entre aspas nos valores da extensão de codificação de transferência por partes HTTP/1.1. Essa falha ocorre porque o Jetty não valida adequadamente a sintaxe das extensões de codificação por partes quando estas estão entre aspas. Um atacante pode explorar isso enviando requisições HTTP maliciosas que são interpretadas de forma diferente pelo servidor proxy e pelo servidor backend, permitindo o contrabando de requisições e, potencialmente, o acesso não autorizado a recursos ou a execução de código malicioso. A severidade CVSS é 7.4, o que indica um risco alto. É crucial aplicar a atualização para a versão 12.1.7 para mitigar este risco.
Esta vulnerabilidade se baseia nas técnicas de 'Funky Chunks' para o contrabando de requisições HTTP. O atacante manipula os cabeçalhos de transferência por partes para enganar o servidor proxy e o servidor backend para que interpretem as requisições de forma diferente. O uso de aspas nos valores da extensão de transferência por partes introduz uma vulnerabilidade específica que o Jetty não lida corretamente. A exploração bem-sucedida requer que o atacante tenha controle sobre a requisição HTTP inicial e possa manipulá-la para incluir os cabeçalhos de transferência por partes maliciosos. A complexidade da exploração depende da configuração do proxy e do servidor backend.
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A solução principal para mitigar CVE-2026-2332 é atualizar o Eclipse Jetty para a versão 12.1.7 ou superior. Esta versão contém uma correção que aborda o problema de análise de strings entre aspas. Além disso, recomenda-se revisar a configuração do servidor para garantir que políticas de segurança robustas sejam implementadas, como a validação de entrada e a limitação do comprimento das requisições HTTP. Monitorar os logs do servidor em busca de padrões suspeitos relacionados à codificação de transferência por partes também pode ajudar a detectar e prevenir ataques. Considere o uso de Web Application Firewalls (WAFs) para filtrar tráfego malicioso.
Actualice Eclipse Jetty a la versión 12.1.7 o superior, 12.0.33 o superior, 11.0.28 o superior, 10.0.28 o superior, o 9.4.60 o superior para mitigar la vulnerabilidad de smuggling de solicitudes HTTP. Esta vulnerabilidad permite a un atacante inyectar solicitudes maliciosas aprovechando el manejo incorrecto de las extensiones de bloque en el analizador HTTP/1.1.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma técnica de ataque que explora as diferenças na forma como os servidores proxy e os servidores backend processam as requisições HTTP, permitindo que um atacante insira requisições maliciosas entre requisições legítimas.
A versão 12.1.7 contém uma correção específica para CVE-2026-2332, que aborda a vulnerabilidade de análise de strings entre aspas.
Além da atualização, considere a validação de entrada, a limitação do comprimento das requisições HTTP e o uso de um WAF.
Monitore os logs do servidor em busca de padrões suspeitos relacionados à codificação de transferência por partes e ao contrabando de requisições.
Existem ferramentas de teste de penetração que podem ajudar a identificar vulnerabilidades de contrabando de requisições HTTP, incluindo variantes baseadas em 'Funky Chunks'.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.