Plataforma
java
Componente
org.eclipse.jetty.ee11:jetty-ee11-jaspi
Corrigido em
12.1.8
12.0.34
11.0.29
10.0.29
9.4.61
12.1.7
Esta vulnerabilidade foi identificada no componente jetty-ee11-jaspi da Eclipse Jetty EE11, especificamente na classe JaspiAuthenticator.java. A falha reside na inconsistência na limpeza de metadados de autenticação armazenados em ThreadLocal durante fluxos de autenticação incompletos ou com erros, permitindo o acesso não autorizado a recursos. As versões afetadas são 12.1.0 até 12.1.7, e uma correção foi lançada na versão 12.1.8.
A vulnerabilidade CVE-2026-5795 em org.eclipse.jetty.ee11:jetty-ee11-jaspi afeta aplicações web que utilizam Jetty para autenticação com Jaspi. A falha reside na gestão de metadados de autenticação armazenados em ThreadLocal. Se um GroupPrincipalCallback for persistido em ThreadLocal e o processo de autenticação terminar prematuramente (por exemplo, devido a um erro ou omissão de um CallerPrincipalCallback obrigatório), os dados de autenticação podem permanecer em ThreadLocal. Isso poderia permitir que um atacante, em cenários específicos, reutilizasse ou manipulasse informações de autenticação de um usuário anterior, obtendo potencialmente acesso não autorizado a recursos protegidos. A severidade CVSS é 7.4, indicando um risco alto. É crucial atualizar para a versão 12.1.8 para mitigar este problema.
A exploração desta vulnerabilidade requer um conhecimento profundo do fluxo de autenticação Jaspi e a capacidade de provocar um término prematuro do processo. Um atacante pode tentar manipular as requisições para que não seja concluído o CallerPrincipalCallback, ou induzir erros que interrompam o fluxo normal de autenticação. O sucesso da exploração depende da configuração específica da aplicação e da presença de outros fatores de risco. A probabilidade de exploração é considerada baixa a moderada, mas o impacto potencial é significativo, podendo resultar em acesso não autorizado a dados sensíveis ou funcionalidades restritas.
Organizations using Jetty EE11 Jaspi in their web applications, particularly those relying on it for authentication and authorization, are at risk. This includes deployments where Jetty is integrated with other Java EE components or used as a reverse proxy. Applications handling sensitive data or critical business processes are particularly vulnerable.
• java / server: Monitor Jetty logs for unusual authentication patterns or errors related to GroupPrincipalCallback and CallerPrincipalCallback.
grep -i 'GroupPrincipalCallback|CallerPrincipalCallback' /path/to/jetty/logs/jetty.log• java / server: Use a Java profiler to inspect ThreadLocal variables during authentication flows and identify instances where authentication metadata is not being properly cleared. • generic web: Examine authentication endpoints for unexpected behavior or responses that might indicate a bypass. • generic web: Check for unusual user sessions or access patterns that don't align with expected user behavior.
disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar a biblioteca jetty-ee11-jaspi para a versão 12.1.8 ou superior. Esta versão inclui uma correção que garante que os metadados de autenticação em ThreadLocal sejam limpos corretamente em todas as situações, mesmo em casos de erros ou término prematuro do processo de autenticação. Se a atualização imediata não for possível, revise o código da sua aplicação para identificar e corrigir qualquer lógica que possa depender da limpeza adequada de ThreadLocal no contexto da autenticação Jaspi. Realizar testes exaustivos após qualquer alteração é fundamental para garantir a segurança.
Actualice Eclipse Jetty a la versión 9.4.61 o superior, 10.0.29 o superior, 11.0.29 o superior, 12.0.34 o superior, o 12.1.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema al limpiar correctamente los ThreadLocal variables después de las comprobaciones de autenticación iniciales, previniendo así la escalada de privilegios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Jaspi é um mecanismo de autenticação baseado em padrões de segurança como OAuth 2.0 e OpenID Connect, utilizado em Jetty para proteger recursos web.
ThreadLocal permite armazenar dados específicos para cada thread de execução, o que pode ser útil para a gestão de contexto, mas requer uma limpeza cuidadosa para evitar fugas de informação.
CVSS 7.4 indica um nível de severidade 'Alto' para a vulnerabilidade, o que significa que representa um risco significativo para a segurança da aplicação.
Embora seja possível aplicar patches manuais, recomenda-se fortemente atualizar para a versão 12.1.8 para garantir uma solução completa e evitar possíveis problemas de compatibilidade.
Revise seu código para identificar qualquer dependência na limpeza de ThreadLocal e aplique medidas de mitigação temporárias até que possa atualizar a biblioteca.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.