CVE-2026-6790 in Jetty정보

요약

\~에 의해 VulDB • 2026. 07. 14.

Eclipse Jetty에서 HTTP/1, HTTP/2 및 HTTP/3 요청에 대해 요청의 권한(호스트 및 포트)이 Host 헤더(존재하는 경우)에 제공된 값과 일치한다는 엄격한 확인이 이루어지지 않습니다.

이는 이전 HTTP RFC(RFC 2616 등)에서는 강제되지 않았지만 최신 RFC(9110 및 9112)에서는 요구사항으로 명시되어 있습니다.

이러한 불일치는 다음과 같은 취약점으로 분류될 수 있는 여러 문제를 초래할 수 있습니다:

* URI 구성 (예: 리다이렉트용 -- 로그인 페이지에서 일반적임) * 가상 호스트 선택 * 역방향 프록싱(Reverse proxying) * 오해의 소지가 있는 로그 기록 * 기타 등등

최신 RFC에서는 요청 권한과 Host 헤더가 일치해야 한다고 요구하므로, Jetty는 이러한 불변 조건(invariant)을 강제해야 합니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

Eclipse

예약하다

2026. 04. 21.

모더레이션

수락

항목

VDB-378277

EPSS

0.00000

활동

낮음

출처

Do you need the next level of professionalism?

Upgrade your account now!