CVE-2026-6790 in Jettyinformation

Résumé

par VulDB • 15/07/2026

Dans Eclipse Jetty, pour les requêtes HTTP/1, HTTP/2 et HTTP/3, il n'existe pas de vérification stricte garantissant que l'autorité de la requête (hôte et port) correspond à celle fournie dans l'en-tête Host (le cas échéant).

Cette exigence n'était pas imposée par les versions antérieures des RFC HTTP (par exemple, la RFC 2616), mais elle est présente dans les dernières spécifications (RFC 9110 et 9112).

Ce désalignement peut entraîner divers problèmes pouvant être classés comme des vulnérabilités, tels que :

* La construction d'URI (par exemple pour les redirections – ce qui est typique sur les pages de connexion) * La sélection de l'hôte virtuel * Le proxy inverse * Des journaux trompeurs * Etc.

Étant donné que les dernières RFC exigent une correspondance entre l'autorité de la requête et l'en-tête Host, Jetty devrait imposer cette invariance.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

Eclipse

Réserver

21/04/2026

Divulgation

14/07/2026

Modérer

accepté

Entrée

VDB-378277

CPE

prêt

EPSS

0.00196

KEV

non

Activités

faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!