CVE-2025-12543
Mis à jour :
Risque lié à l’en-tête Host dans Undertow
Une faille de sécurité (CVE-2025-12543) a été identifiée dans le cœur du serveur HTTP Undertow, un composant présent dans des applications Java telles que WildFly et JBoss EAP. Le problème réside dans une validation insuffisante de l’en-tête Host des requêtes HTTP entrantes.
Points clés :
- Composant affecté : Undertow HTTP server core.
- Contexte : Utilisé par des applications Java comme WildFly et JBoss EAP.
- Nature de la faille : Validation inadéquate de l’en-tête
Host(CWE-20).
Vulnérabilités exploitables :
- L’exploitation de cette faille peut mener à des empoisonnements de cache (cache poisoning), conduisant à des entrées malveillantes persistantes.
- Elle permet également de réaliser des scans du réseau interne.
- Le détournement de sessions utilisateurs (session hijacking) devient possible.
- Ces risques surviennent car la logique applicative en aval, les frameworks ou les proxys peuvent faire confiance à un en-tête
Hostnon validé pour des décisions critiques de sécurité.
Recommandations :
Bien que l’article ne fournisse pas de recommandations spécifiques pour cette CVE, la nature de la vulnérabilité suggère la nécessité de :
- Mettre à jour le composant Undertow vers une version corrigée dès sa disponibilité.
- Implémenter une validation stricte et personnalisée de l’en-tête
Hostau niveau du serveur ou des proxys frontaux, avant qu’il n’atteigne les applications vulnérables. - Auditer les configurations des applications utilisant Undertow pour identifier et mitiger les risques potentiels liés à la confiance accordée à cet en-tête.