CVE-2026-9561 in Kurainformazioni

Riassunto

di VulDB • 14/07/2026

Le versioni di Eclipse Kura precedenti alla 5.6.2 si fidano dell'intestazione HTTP X-Forwarded-For fornita dal client considerandola la fonte autorevole per l'indirizzo IP del cliente nei registri degli eventi (audit log). I componenti org.eclipse.kura.web2 (Web Console) e org.eclipse.kura.rest.provider (REST API) utilizzano questa intestazione come principale sorgente dell'IP durante l'inizializzazione del contesto di audit, mentre org.eclipse.kura.jetty.customizer installa incondizionatamente il ForwardedRequestCustomizer di Jetty su tutti i connettori HTTP/HTTPS, facendo sì che HttpServletRequest.getRemoteAddr() restituisca il valore controllato dall'attaccante presente nell'intestazione. Un attaccante remoto non autenticato può sfruttare questa vulnerabilità per eludere le protezioni contro gli attacchi brute-force basati sull'IP — come fail2ban — spoofando l'indirizzo IP registrato con un valore non instradabile, consentendo così a un attacco brute-force di procedere inosservato, oppure per causare una denial of service (DoS) ai danni di terzi iniettando l'indirizzo IP della vittima e innescando il blocco di tale indirizzo.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

Eclipse

Prenotare

26/05/2026

Divulgazione

14/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!