CVE-2026-6790 in Jetty
요약
\~에 의해 VulDB • 2026. 07. 14.
Eclipse Jetty에서 HTTP/1, HTTP/2 및 HTTP/3 요청에 대해 요청의 권한(호스트 및 포트)이 Host 헤더(존재하는 경우)에 제공된 값과 일치한다는 엄격한 확인이 이루어지지 않습니다.
이는 이전 HTTP RFC(RFC 2616 등)에서는 강제되지 않았지만 최신 RFC(9110 및 9112)에서는 요구사항으로 명시되어 있습니다.
이러한 불일치는 다음과 같은 취약점으로 분류될 수 있는 여러 문제를 초래할 수 있습니다:
* URI 구성 (예: 리다이렉트용 -- 로그인 페이지에서 일반적임) * 가상 호스트 선택 * 역방향 프록싱(Reverse proxying) * 오해의 소지가 있는 로그 기록 * 기타 등등
최신 RFC에서는 요청 권한과 Host 헤더가 일치해야 한다고 요구하므로, Jetty는 이러한 불변 조건(invariant)을 강제해야 합니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.