Undertow - CVE-2025-12543

Date de publication :

Une vulnérabilité dans le cœur du serveur HTTP Undertow. Elle permet le traitement d’en-têtes Host malformés ou malveillants, pouvant conduire à du cache poisoning, du SSRF (Server-Side Request Forgery) ou au détournement de session utilisateur.

CVE-2025-12543

[Score CVSS v3.1 : 9.6]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

•   Contournement de la politique de sécurité
•   Atteinte à la confidentialité des données
•   Atteinte à l'intégrité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-20 : Improper Input Validation

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

  • Red Hat JBoss Enterprise Application Platform 8.1 versions antérieures aux correctifs publiés dans RHSA-2026:0386
  • Red Hat JBoss Enterprise Application Platform 8.1 for RHEL 8 versions antérieures aux correctifs publiés dans RHSA-2026:0383
  • HPE Telco Service Activator versions antérieures à 10.5.0

Solutions ou recommandations

•   Red Hat JBoss Enterprise Application Platform 8.1 versions contenant le correctif RHSA-2026:0386 et supérieures
•   Red Hat JBoss Enterprise Application Platform 8.1 for RHEL 8 versions contenant le correctif RHSA-2026:0383 et supérieures
•   HPE Telco Service Activator versions 10.5.0 et supérieures

Liens