CVE-2026-28368 描述了 Undertow 中存在的漏洞,允许远程攻击者构造特殊请求,导致标头解析差异。这可能被用于请求走私攻击,从而绕过安全控制。成功利用此漏洞可能导致未经授权的资源访问。目前没有官方补丁可用。
在 Red Hat Build of Apache Camel for Spring Boot 4 中发现了一个关键漏洞(CVE-2026-28368),与 Undertow 相关。此漏洞允许远程攻击者构建专门设计的请求,其中 Undertow 对标头名称的解析方式与上游代理不同。这种标头解释上的差异可被利用来发起请求走私攻击,从而可能绕过安全控制并访问未经授权的资源。CVSS 已被评分为 8.7,表明存在高风险。为减轻此风险,必须升级到版本 2.5.4。
此漏洞是通过创建利用 Undertow 和上游代理解析标头名称方式差异的 HTTP 请求来利用的。这使得攻击者能够在原始请求中“走私”额外的 HTTP 请求,从而可能导致访问受保护的资源或执行未经授权的操作。利用的复杂性取决于特定的基础设施配置,但绕过安全控制的可能性很大。缺乏 KEV(知识工程向量)表明有关利用的信息有限,但漏洞的严重性要求立即采取行动。
Organizations utilizing Undertow as their web server or servlet container, particularly those deploying applications behind reverse proxies like Apache or Nginx, are at risk. Legacy applications relying on older, vulnerable Undertow versions are especially susceptible. Shared hosting environments where Undertow is used as a common component also present a heightened risk.
• java / server:
# Check Undertow version
java -version
# Monitor logs for unusual header patterns (e.g., multiple Content-Length headers)
grep -i 'content-length' /path/to/undertow.log• generic web:
# Check for unusual HTTP headers in access logs
grep -i 'content-length' /var/log/apache2/access.logdisclosure
漏洞利用状态
EPSS
0.11% (29% 百分位)
CISA SSVC
此漏洞的主要缓解措施是将 Red Hat Build of Apache Camel for Spring Boot 4 升级到版本 2.5.4。此版本包含修复程序,可解决标头解释不一致的问题。同时,作为临时措施,建议审查并强化上游代理配置,以尽量减少请求走私攻击的潜在影响。监控服务器日志中是否存在可疑的请求模式也是一种很好的做法。升级是解决问题的最有效方法,强烈建议。
将 Undertow 更新到已修复的版本或更高版本。 这可能涉及更新使用 Undertow 的项目的依赖项。 请参阅 Red Hat 文档,以获取有关如何在受影响产品中更新 Undertow 的具体说明。
漏洞分析和关键警报直接发送到您的邮箱。
请求走私是一种攻击,攻击者在现有的请求中插入额外的 HTTP 请求,利用不同服务器或代理对标头解释方式的差异。
版本 2.5.4 包含此漏洞的特定修复程序,解决了标头解释不一致的问题并防止了请求走私攻击。
作为临时措施,请审查并强化上游代理配置,并监控服务器日志中是否存在可疑的请求模式。
CVSS 分数 8.7 表示很高的严重程度,这意味着该漏洞构成重大的安全风险。
KEV(知识工程向量)是一份包含有关漏洞利用的详细信息的文档。缺乏 KEV 表明有关利用的信息有限。
CVSS 向量
上传你的 pom.xml 文件,立即知道是否受影响。