CVE-2026-2332

Name of the Vulnerable Software and Affected Versions Eclipse Jetty versões 12.1.0 até 12.1.6 Eclipse Jetty versões 12.0.0 até 12.0.32 Eclipse Jetty versões 11.0.0 até 11.0.27 Eclipse Jetty versões 10.0.0 até 10.0.27 Eclipse Jetty versões 9.4.0 até 9.4.59

Description O analisador HTTP/1.1 processa incorretamente strings entre aspas em valores de extensão de codificação de transferência em blocos (chunked transfer encoding). Especificamente, o analisador encerra a análise do cabeçalho do bloco ao encontrar uma sequência de retorno de carro e alimentação de linha (CRLF) dentro de uma string entre aspas, em vez de tratar isso como um erro de análise. Esse comportamento permite que um invasor injete requisições HTTP contrabandeadas, o que pode levar ao envenenamento de cache, bypass de controle de acesso e sequestro de sessão.

Recommendations Atualize o Eclipse Jetty para uma versão posterior à 12.1.6. Atualize o Eclipse Jetty para uma versão posterior à 12.0.32. Atualize o Eclipse Jetty para uma versão posterior à 11.0.27. Atualize o Eclipse Jetty para uma versão posterior à 10.0.27. Atualize o Eclipse Jetty para uma versão posterior à 9.4.59.