CVE-2026-28368 Red Hat — эксплойт и детали уязвимости CRITICAL

Параметр	Значение
CVSS	9,1 (CRITICAL)
Тип уязвимости	CWE-444
Поставщик	Red Hat
Публичный эксплойт	Нет

В Undertow был обнаружен недостаток. Эта уязвимость позволяет удаленному злоумышленнику создавать специально созданные запросы, в которых имена заголовков анализируются Undertow иначе, чем восходящие прокси-серверы. Это несоответствие в интерпретации заголовка может быть использовано для запуска атак с контрабандой запросов, потенциально в обход мер безопасности и доступа к неавторизированным ресурсам.

Показать оригинальное описание (EN)

A flaw was found in Undertow. This vulnerability allows a remote attacker to construct specially crafted requests where header names are parsed differently by Undertow compared to upstream proxies. This discrepancy in header interpretation can be exploited to launch request smuggling attacks, potentially bypassing security controls and accessing unauthorized resources.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Высокое

Полная модификация данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-444

Уязвимые продукты 11

Конфигурация	От (включительно)	До (исключительно)
Redhat Build_Of_Apache_Camel_-_Hawtio cpe:2.3:a:redhat:build_of_apache_camel_-_hawtio:4.0:::::::*	—	—
Redhat Build_Of_Apache_Camel_For_Spring_Boot cpe:2.3:a:redhat:build_of_apache_camel_for_spring_boot:4.0:::::::*	—	—
Redhat Data_Grid cpe:2.3:a:redhat:data_grid:8.0:::::::*	—	—
Redhat Fuse cpe:2.3:a:redhat:fuse:7.0.0:::::::*	—	—
Redhat Jboss_Enterprise_Application_Platform cpe:2.3:a:redhat:jboss_enterprise_application_platform:7.0.0:::::::*	—	—
Redhat Jboss_Enterprise_Application_Platform cpe:2.3:a:redhat:jboss_enterprise_application_platform:8.0.0:::::::*	—	—
Redhat Jboss_Enterprise_Application_Platform_Expansion_Pack cpe:2.3:a:redhat:jboss_enterprise_application_platform_expansion_pack:-:::::::*	—	—
Redhat Process_Automation cpe:2.3:a:redhat:process_automation:7.0:::::::*	—	—
Redhat Single_Sign-On cpe:2.3:a:redhat:single_sign-on:7.0:::::::*	—	—
Redhat Undertow cpe:2.3:a:redhat:undertow:-:::::::*	—	—
Redhat Enterprise_Linux cpe:2.3:o:redhat:enterprise_linux:9.0:::::::*	—	—