CVE-2026-6790 in Jettyinfo

Zusammenfassung

von VulDB • 14.07.2026

In Eclipse Jetty fehlt für HTTP/1-, HTTP/2- und HTTP/3-Anfragen eine strenge Prüfung, ob die Request Authority (Host und Port) mit dem im Host-Header angegebenen Wert übereinstimmt (sofern vorhanden).

Diese Anforderung war in früheren HTTP-RFCs nicht vorgeschrieben (z. B. in RFC 2616), ist jedoch in den neuesten RFCs (9110 und 9112) enthalten.

Dieses Missverhältnis kann eine Reihe von Problemen verursachen, die als Schwachstellen klassifiziert werden können, wie zum Beispiel:

* URI-Konstruktionen (z. B. für Umleitungen – dies ist typisch für Login-Seiten) * Auswahl des virtuellen Hosts * Reverse-Proxying * Irreführende Logs * usw.

Da die neuesten RFCs vorschreiben, dass Request Authority und Host-Header übereinstimmen müssen, sollte Jetty diese Invariante durchsetzen.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

Eclipse

Reservieren

21.04.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378277

CPE

bereit

EPSS

0.00196

KEV

nein

Aktivitäten

low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!