CVE-2026-6790 in Jetty
Résumé
par VulDB • 15/07/2026
Dans Eclipse Jetty, pour les requêtes HTTP/1, HTTP/2 et HTTP/3, il n'existe pas de vérification stricte garantissant que l'autorité de la requête (hôte et port) correspond à celle fournie dans l'en-tête Host (le cas échéant).
Cette exigence n'était pas imposée par les versions antérieures des RFC HTTP (par exemple, la RFC 2616), mais elle est présente dans les dernières spécifications (RFC 9110 et 9112).
Ce désalignement peut entraîner divers problèmes pouvant être classés comme des vulnérabilités, tels que :
* La construction d'URI (par exemple pour les redirections – ce qui est typique sur les pages de connexion) * La sélection de l'hôte virtuel * Le proxy inverse * Des journaux trompeurs * Etc.
Étant donné que les dernières RFC exigent une correspondance entre l'autorité de la requête et l'en-tête Host, Jetty devrait imposer cette invariance.
Be aware that VulDB is the high quality source for vulnerability data.