Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-00261

Опубликовано: 09 янв. 2026
Источник: fstec
CVSS3: 9.6
CVSS2: 9.7
EPSS Низкий

Описание

Уязвимость ядра HTTP-сервера Undertow связана с ошибками механизма проверки входных данных при обработке заголовков Host. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку путем отправки специально сформированного запроса

Вендор

Red Hat Inc.

Наименование ПО

undertow
JBoss Enterprise Application Platform

Версия ПО

- (undertow)
8.1 (JBoss Enterprise Application Platform)

Тип ПО

Сетевое программное средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,7)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,6)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации HTTP-запросов;
- ограничение доступа из внешних сетей (Интернет);
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
Для программных продуктов Red Hat Inc.:
https://bugzilla.redhat.com/show_bug.cgi?id=2408784

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 36%
0.0015
Низкий

9.6 Critical

CVSS3

9.7 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-12543

CVSS3: 9.6
ubuntu
около 1 месяца назад

A flaw was found in the Undertow HTTP server core, which is used in WildFly, JBoss EAP, and other Java applications. The Undertow library fails to properly validate the Host header in incoming HTTP requests.As a result, requests containing malformed or malicious Host headers are processed without rejection, enabling attackers to poison caches, perform internal network scans, or hijack user sessions.

nvd логотип

CVE-2025-12543

CVSS3: 9.6
nvd
около 1 месяца назад

A flaw was found in the Undertow HTTP server core, which is used in WildFly, JBoss EAP, and other Java applications. The Undertow library fails to properly validate the Host header in incoming HTTP requests.As a result, requests containing malformed or malicious Host headers are processed without rejection, enabling attackers to poison caches, perform internal network scans, or hijack user sessions.

debian логотип

CVE-2025-12543

CVSS3: 9.6
debian
около 1 месяца назад

A flaw was found in the Undertow HTTP server core, which is used in Wi ...

github логотип

GHSA-j382-5jj3-vw4j

CVSS3: 9.6
github
около 1 месяца назад

Undertow HTTP server core doesn't properly validate the Host header in incoming HTTP requests

EPSS

Процентиль: 36%
0.0015
Низкий

9.6 Critical

CVSS3

9.7 Critical

CVSS2