平台
java
组件
org.eclipse.jetty.ee11:jetty-ee11-jaspi
修复版本
12.1.8
12.0.34
11.0.29
10.0.29
9.4.61
12.1.7
CVE-2026-5795 是一个存在于 Jetty EE11 Jaspi 认证器中的安全漏洞,源于对ThreadLocal中存储的认证元数据清理不一致。此漏洞可能允许后续的未授权用户访问受保护的资源,因为在某些错误或不完整的认证流程中,ThreadLocal中的数据没有被及时清除。该漏洞影响 Jetty EE11 Jaspi 版本 12.1.0 到 12.1.7,已在 12.1.8 版本中修复。
CVE-2026-5795 影响 org.eclipse.jetty.ee11:jetty-ee11-jaspi,影响使用 Jetty 和 Jaspi 进行身份验证的 Web 应用程序。该漏洞在于 ThreadLocal 中存储的身份验证元数据管理。如果 GroupPrincipalCallback 持续存在于 ThreadLocal 中,并且身份验证过程过早终止(例如,由于错误或缺少必需的 CallerPrincipalCallback),则身份验证数据可能会保留在 ThreadLocal 中。这可能允许攻击者在特定场景下重用或操纵以前用户的身份验证信息,从而获得对受保护资源的未经授权的访问。CVSS 严重性为 7.4,表明存在高风险。为了减轻此问题,必须更新到版本 12.1.8。
利用此漏洞需要对 Jaspi 身份验证流程有深入的了解,并能够触发流程过早终止。攻击者可能会尝试操纵请求以防止 CallerPrincipalCallback 完成,或引发中断正常身份验证流程的错误。利用成功取决于特定的应用程序配置以及其他风险因素的存在。利用的可能性被认为是低到中等,但潜在影响很大,可能导致对敏感数据或受限功能的未经授权的访问。
Organizations using Jetty EE11 Jaspi in their web applications, particularly those relying on it for authentication and authorization, are at risk. This includes deployments where Jetty is integrated with other Java EE components or used as a reverse proxy. Applications handling sensitive data or critical business processes are particularly vulnerable.
• java / server: Monitor Jetty logs for unusual authentication patterns or errors related to GroupPrincipalCallback and CallerPrincipalCallback.
grep -i 'GroupPrincipalCallback|CallerPrincipalCallback' /path/to/jetty/logs/jetty.log• java / server: Use a Java profiler to inspect ThreadLocal variables during authentication flows and identify instances where authentication metadata is not being properly cleared. • generic web: Examine authentication endpoints for unexpected behavior or responses that might indicate a bypass. • generic web: Check for unusual user sessions or access patterns that don't align with expected user behavior.
disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
建议的解决方案是将 jetty-ee11-jaspi 库更新到版本 12.1.8 或更高版本。此版本包含修复程序,可确保在所有情况下(即使在发生错误或身份验证过程过早终止的情况下)正确清除 ThreadLocal 中的身份验证元数据。如果无法立即更新,请检查您的应用程序代码,以识别和更正任何可能依赖于 Jaspi 身份验证上下文中 ThreadLocal 适当清理的逻辑。进行任何更改后的彻底测试对于确保安全至关重要。
Actualice Eclipse Jetty a la versión 9.4.61 o superior, 10.0.29 o superior, 11.0.29 o superior, 12.0.34 o superior, o 12.1.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema al limpiar correctamente los ThreadLocal variables después de las comprobaciones de autenticación iniciales, previniendo así la escalada de privilegios.
漏洞分析和关键警报直接发送到您的邮箱。
Jaspi 是一种基于 OAuth 2.0 和 OpenID Connect 等安全标准的身份验证机制,用于在 Jetty 中保护 Web 资源。
ThreadLocal 允许存储每个执行线程特定的数据,这对于上下文管理很有用,但需要仔细清理以防止信息泄漏。
CVSS 7.4 表示此漏洞的严重性为“高”,这意味着它对应用程序构成重大安全风险。
虽然手动打补丁是可能的,但强烈建议更新到版本 12.1.8 以确保完整的解决方案并避免潜在的兼容性问题。
检查您的代码,以识别对 ThreadLocal 清理的任何依赖关系,并在您能够更新库之前应用临时缓解措施。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的 pom.xml 文件,立即知道是否受影响。