CVE-2026-6790 in Jetty
Zusammenfassung
von VulDB • 14.07.2026
In Eclipse Jetty fehlt für HTTP/1-, HTTP/2- und HTTP/3-Anfragen eine strenge Prüfung, ob die Request Authority (Host und Port) mit dem im Host-Header angegebenen Wert übereinstimmt (sofern vorhanden).
Diese Anforderung war in früheren HTTP-RFCs nicht vorgeschrieben (z. B. in RFC 2616), ist jedoch in den neuesten RFCs (9110 und 9112) enthalten.
Dieses Missverhältnis kann eine Reihe von Problemen verursachen, die als Schwachstellen klassifiziert werden können, wie zum Beispiel:
* URI-Konstruktionen (z. B. für Umleitungen – dies ist typisch für Login-Seiten) * Auswahl des virtuellen Hosts * Reverse-Proxying * Irreführende Logs * usw.
Da die neuesten RFCs vorschreiben, dass Request Authority und Host-Header übereinstimmen müssen, sollte Jetty diese Invariante durchsetzen.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.