Apache - CVE-2026-40542
Date de publication :
Il s'agit d'une vulnérabilité dans le mécanisme d'authentification SCRAM-SHA-256 d'Apache HttpClient 5.6.
Apache HttpClient est une bibliothèque Java de la suite Apache HttpComponents. Elle est destinée au traitement des requêtes et réponses HTTP côté client. Elle est intégrée comme dépendance dans de nombreuses applications d'entreprise, frameworks Java et middlewares d'intégration.
Une étape critique de vérification mutuelle est absente du processus d'authentification. Lors d'un échange SCRAM-SHA-256, le client est supposé vérifier que le serveur connaît bien le secret partagé avant de valider la session. Cette vérification n'est pas effectuée, ce qui permet à un serveur malveillant ou à un attaquant positionné en homme du milieu de faire accepter au client une authentification sans que l'identité du serveur soit réellement confirmée. Les flux applicatifs transitant par HttpClient sont dès lors exposés à une interception ou une usurpation de serveur.
Elle permet à un attaquant distant non authentifié de contourner l'authentification mutuelle, d'intercepter des communications et d'usurper l'identité d'un serveur légitime auprès du client.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données
Exploitation
CWE-304 : Missing Critical Step in Authentication
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Apache HttpClient version 5.6