PT-2026-57997 · Eclipse Foundation · Eclipse Kura
Publicado
2026-07-14
·
Atualizado
2026-07-14
·
CVE-2026-9561
CVSS v4.0
8.8
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:L/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Eclipse Kura versões anteriores a 5.6.2
Description
As entradas do log de auditoria confiam no cabeçalho HTTP
X-Forwarded-For fornecido pelo cliente como a fonte autoritativa do endereço IP do cliente. Os componentes org.eclipse.kura.web2 (Web Console) e org.eclipse.kura.rest.provider (REST API) utilizam este cabeçalho ao inicializar o contexto de auditoria. Além disso, o org.eclipse.kura.jetty.customizer instala o ForwardedRequestCustomizer do Jetty em todos os conectores HTTP/HTTPS, fazendo com que o HttpServletRequest.getRemoteAddr() reflita o valor fornecido no cabeçalho controlado pelo invasor. Um invasor remoto não autenticado pode falsificar o endereço IP registrado para ignorar proteções de força bruta baseadas em IP ou injetar o endereço IP de uma vítima para causar a negação de serviço ao disparar um banimento desse endereço.Recommendations
Atualizar para a versão 5.6.2 ou posterior.
Correção
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Eclipse Kura