PT-2026-57997 · Eclipse Foundation · Eclipse Kura

Publicado

2026-07-14

·

Atualizado

2026-07-14

·

CVE-2026-9561

CVSS v4.0

8.8

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Eclipse Kura versões anteriores a 5.6.2
Description As entradas do log de auditoria confiam no cabeçalho HTTP X-Forwarded-For fornecido pelo cliente como a fonte autoritativa do endereço IP do cliente. Os componentes org.eclipse.kura.web2 (Web Console) e org.eclipse.kura.rest.provider (REST API) utilizam este cabeçalho ao inicializar o contexto de auditoria. Além disso, o org.eclipse.kura.jetty.customizer instala o ForwardedRequestCustomizer do Jetty em todos os conectores HTTP/HTTPS, fazendo com que o HttpServletRequest.getRemoteAddr() reflita o valor fornecido no cabeçalho controlado pelo invasor. Um invasor remoto não autenticado pode falsificar o endereço IP registrado para ignorar proteções de força bruta baseadas em IP ou injetar o endereço IP de uma vítima para causar a negação de serviço ao disparar um banimento desse endereço.
Recommendations Atualizar para a versão 5.6.2 ou posterior.

Correção

Insufficient Verification of Data Authenticity

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-9561

Produtos afetados

Eclipse Kura