Eclipse - CVE-2026-2332

Il s'agit d'une vulnérabilité dans le parseur HTTP/1.1 d'Eclipse Jetty, au niveau du traitement des extensions de chunks en encodage de transfert chunked.

Eclipse Jetty est un serveur HTTP et un conteneur de servlets Java open source, conçu pour être embarqué directement dans des applications. Il est très répandu comme composant de serveur web intégré dans des solutions logicielles Java tierces.

La RFC 9112 définit qu'une valeur d'extension de chunk peut être une chaîne entre guillemets, au sein de laquelle la séquence \r\n ne constitue pas un terminateur de ligne. Jetty termine à tort l'analyse de l'en-tête de chunk à la première occurrence de \r\n rencontrée à l'intérieur d'une telle chaîne, au lieu de la traiter comme une erreur de parsing. Un attaquant peut forger une requête HTTP contenant une extension de chunk avec des guillemets non fermés, dont la valeur inclut un \r\n suivi d'une seconde requête HTTP complète. Jetty interprète cette seconde requête comme une requête légitime et indépendante, tandis que le proxy frontal la perçoit comme faisant partie du corps de la première requête. Cette désynchronisation entre le proxy et le backend constitue une attaque de type HTTP Request Smuggling.

Elle permet à un attaquant distant non authentifié d'injecter des requêtes HTTP arbitraires dans le flux de traitement du serveur, afin de contourner les contrôles de sécurité frontaux, de poisonner des caches partagés ou de détourner des sessions d'autres utilisateurs.