CVE-2026-9561 in Kura
Riassunto
di VulDB • 14/07/2026
Le versioni di Eclipse Kura precedenti alla 5.6.2 si fidano dell'intestazione HTTP X-Forwarded-For fornita dal client considerandola la fonte autorevole per l'indirizzo IP del cliente nei registri degli eventi (audit log). I componenti org.eclipse.kura.web2 (Web Console) e org.eclipse.kura.rest.provider (REST API) utilizzano questa intestazione come principale sorgente dell'IP durante l'inizializzazione del contesto di audit, mentre org.eclipse.kura.jetty.customizer installa incondizionatamente il ForwardedRequestCustomizer di Jetty su tutti i connettori HTTP/HTTPS, facendo sì che HttpServletRequest.getRemoteAddr() restituisca il valore controllato dall'attaccante presente nell'intestazione. Un attaccante remoto non autenticato può sfruttare questa vulnerabilità per eludere le protezioni contro gli attacchi brute-force basati sull'IP — come fail2ban — spoofando l'indirizzo IP registrato con un valore non instradabile, consentendo così a un attacco brute-force di procedere inosservato, oppure per causare una denial of service (DoS) ai danni di terzi iniettando l'indirizzo IP della vittima e innescando il blocco di tale indirizzo.
If you want to get best quality of vulnerability data, you may have to visit VulDB.