Plataforma
java
Componente
apache-undertow
Corrigido em
1.10.0
2.5.4
A CVE-2026-28367 descreve uma falha no Undertow que permite a um atacante remoto realizar request smuggling. Ao enviar \r\r\r como terminador de bloco de cabeçalho, um atacante pode explorar essa vulnerabilidade com certos servidores proxy, levando potencialmente ao acesso não autorizado ou manipulação de requisições web. A falha afeta versões vulneráveis do Undertow. Não há patch oficial disponível.
Uma vulnerabilidade crítica (CVE-2026-28367) foi identificada na versão Red Hat Build do Apache Camel para Spring Boot 4, afetando o componente Undertow. Essa vulnerabilidade permite que um atacante remoto explore o sistema enviando \r\r\r como um terminador de bloco de cabeçalho. Isso pode facilitar ataques de 'request smuggling' (contrabando de requisições) em conjunto com certos servidores proxy, como versões antigas do Apache Traffic Server e Google Cloud Classic Application Load Balancer. A exploração bem-sucedida pode resultar em acesso não autorizado a dados confidenciais, manipulação de requisições web e, potencialmente, execução de código malicioso no servidor.
A vulnerabilidade é explorada através da manipulação de cabeçalhos HTTP. Um atacante envia uma requisição com uma sequência \r\r\r em um cabeçalho, enganando o servidor Undertow para interpretar incorretamente o fim da requisição. Isso, combinado com a forma como certos servidores proxy processam as requisições, pode permitir que o atacante 'contrabandeie' requisições adicionais, que são processadas como se fossem requisições legítimas. A vulnerabilidade é particularmente relevante para ambientes que utilizam servidores proxy desatualizados ou mal configurados, como Apache Traffic Server ou Google Cloud Classic Application Load Balancer. A exploração requer conhecimento específico de como funcionam os servidores proxy e a manipulação de cabeçalhos HTTP.
Organizations using Apache Undertow as a servlet container, particularly those deploying it behind proxy servers like Apache Traffic Server or Google Cloud Classic Application Load Balancer, are at significant risk. Legacy systems running older versions of Undertow and those with misconfigured proxy servers are especially vulnerable. Shared hosting environments where multiple users share the same Undertow instance should also be prioritized for remediation.
• linux / server:
journalctl -u undertow -g "header block terminator"• generic web:
curl -I 'http://your-undertow-server/path' -H 'Header: Malicious\r\r\rValue' | grep -i 'HTTP/1.1 200 OK'• linux / server:
lsof -i :8080 | grep undertowdisclosure
patch
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar para a versão 2.5.4 ou superior da Red Hat Build do Apache Camel para Spring Boot 4. Esta atualização inclui uma correção que mitiga a vulnerabilidade ao lidar corretamente com os terminadores de bloco de cabeçalho. Enquanto isso, como medida de mitigação temporária, recomenda-se desativar ou configurar cuidadosamente os servidores proxy que possam ser suscetíveis a ataques de 'request smuggling'. É crucial revisar as configurações dos servidores proxy e garantir que estejam atualizados com as últimas correções de segurança. Também é recomendável monitorar os logs do servidor em busca de padrões suspeitos de atividade de 'request smuggling'.
Actualice a la versión 2.5.4 o superior para mitigar la vulnerabilidad de contrabando de solicitudes. Esta actualización corrige la forma en que Undertow maneja los terminadores de bloque de encabezados, previniendo la explotación a través de secuencias ` `.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
O 'request smuggling' é um ataque em que um atacante envia requisições HTTP que são interpretadas de maneira diferente pelo servidor web e pelo proxy, permitindo que o atacante 'contrabandeie' requisições adicionais e potencialmente acesse recursos não autorizados.
Todas as versões anteriores à 2.5.4 da Red Hat Build do Apache Camel para Spring Boot 4 são vulneráveis.
Como medida temporária, desative ou configure cuidadosamente os servidores proxy suscetíveis a ataques de 'request smuggling' e monitore os logs do servidor.
Existem ferramentas de segurança web que podem ajudar a detectar padrões suspeitos de atividade de 'request smuggling', mas a detecção pode ser complexa.
Você pode encontrar mais informações sobre a vulnerabilidade nos recursos de segurança da Red Hat e Apache.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.