CVE-2025-12543
Mis à jour :
Détournement de serveur Undertow par entête d’hôte invalide
Une faille de sécurité, identifiée comme CVE-2025-12543, a été découverte dans le cœur du serveur HTTP Undertow, un composant essentiel de plusieurs applications Java comme WildFly et JBoss EAP. La vulnérabilité résulte d’une validation insuffisante de l’en-tête Host dans les requêtes HTTP entrantes.
Cette faiblesse (CWE-20) permet à des attaquants d’envoyer des requêtes avec des en-têtes Host malformés ou malveillants, qui ne sont pas rejetées par le serveur. L’exploitation de cette faille peut avoir plusieurs conséquences néfastes :
- Empoisonnement de cache : L’attaquant peut introduire des entrées malveillantes persistantes dans les caches.
- Balayage de réseau interne : La vulnérabilité peut permettre d’explorer le réseau interne de l’organisation.
- Détournement de sessions utilisateur : Il devient possible de prendre le contrôle des sessions des utilisateurs légitimes.
Ces impacts sont rendus possibles car la logique applicative, les frameworks ou les proxys en aval peuvent se fier à l’en-tête Host non validé pour prendre des décisions critiques en matière de sécurité.
Points clés :
- Vulnérabilité dans le serveur HTTP Undertow.
- Cause : Mauvaise validation de l’en-tête
Host. - Conséquences : Empoisonnement de cache, balayage réseau interne, détournement de session.
Vulnérabilité :
- CVE-2025-12543
- CWE-20 (Défaut d’entrée)
Recommandations :
Bien que l’article ne fournisse pas de recommandations spécifiques, il est implicite que la correction de la validation de l’en-tête Host par les développeurs d’Undertow est essentielle. Pour les utilisateurs des applications vulnérables, il est recommandé de maintenir leurs logiciels à jour avec les derniers correctifs de sécurité dès qu’ils sont disponibles. Des mesures de sécurité supplémentaires au niveau du pare-feu ou des proxys inversés pourraient également être envisagées pour filtrer les requêtes suspectes avant qu’elles n’atteignent le serveur Undertow.