平台
java
组件
org.eclipse.jetty:jetty-http
修复版本
12.1.7
12.0.33
11.0.28
10.0.28
9.4.60
12.1.7
CVE-2026-2332 是一个存在于org.eclipse.jetty:jetty-http组件中的漏洞,该漏洞源于HTTP/1.1分块传输编码扩展值的引号字符串解析错误。此错误可能导致请求走私攻击,允许攻击者绕过安全控制并执行恶意操作。受影响的版本包括Jetty HTTP组件版本小于或等于12.1.6。已发布12.1.7版本修复此问题。
Eclipse Jetty 中的 CVE-2026-2332 通过对 HTTP/1.1 块传输编码扩展值中引号字符串的错误解析,允许 HTTP 请求走私攻击。此漏洞是由于 Jetty 未正确验证引号引起来的块编码扩展的语法而引起的。攻击者可以通过发送代理服务器和后端服务器以不同方式解释的恶意 HTTP 请求来利用此漏洞,从而可能导致未经授权访问资源或执行恶意代码。CVSS 严重程度为 7.4,表明存在高风险。为了减轻此风险,必须更新到版本 12.1.7。
此漏洞利用了 HTTP 请求走私的 'Funky Chunks' 技术。攻击者操纵块传输编码标头,以欺骗代理服务器和后端服务器以不同的方式解释请求。在传输编码值中使用引号会引入 Jetty 未能正确处理的特定漏洞。成功的利用需要攻击者控制初始 HTTP 请求并能够对其进行操作,以包含恶意块传输编码标头。利用的复杂性取决于代理服务器和后端服务器的配置。
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
减轻 CVE-2026-2332 的主要解决方案是更新 Eclipse Jetty 到版本 12.1.7 或更高版本。此版本包含解决引号字符串解析问题的修复程序。此外,请审查服务器配置,以确保实施了强大的安全策略,例如输入验证和限制 HTTP 请求长度。监控服务器日志中与块传输编码相关的可疑模式也有助于检测和防止攻击。考虑使用 Web 应用程序防火墙 (WAF) 来过滤恶意流量。
Actualice Eclipse Jetty a la versión 12.1.7 o superior, 12.0.33 o superior, 11.0.28 o superior, 10.0.28 o superior, o 9.4.60 o superior para mitigar la vulnerabilidad de smuggling de solicitudes HTTP. Esta vulnerabilidad permite a un atacante inyectar solicitudes maliciosas aprovechando el manejo incorrecto de las extensiones de bloque en el analizador HTTP/1.1.
漏洞分析和关键警报直接发送到您的邮箱。
这是一种利用代理服务器和后端服务器处理 HTTP 请求方式差异的攻击技术,允许攻击者在合法请求之间插入恶意请求。
版本 12.1.7 包含针对 CVE-2026-2332 的特定修复程序,解决了引号字符串解析漏洞。
除了更新之外,请考虑输入验证、限制 HTTP 请求长度以及使用 WAF。
监控服务器日志中与块传输编码和请求走私相关的可疑模式。
渗透测试工具可以帮助识别 HTTP 请求走私漏洞,包括基于 'Funky Chunks' 的变体。
CVSS 向量
上传你的 pom.xml 文件,立即知道是否受影响。