当前位置：首页>java>Java Apps 严重漏洞可用于劫持会话

Java Apps 严重漏洞可用于劫持会话

2026-01-20 19:05:24

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Java应用程序如 WildFly 和 JBoss EAP 等中广为使用的组件 Undertow HTTP 服务器内核中存在一个严重漏洞CVE-2025-12543（CVSS评分9.6），可导致攻击者劫持用户会话并攻陷内部系统。

该漏洞存在于 Undertow 在进站请求中处理 HTTP Host 标头的方式中。该库未能正确验证这些标头，可导致恶意 Host 标头顺利通过。该弱点可带来多个攻击向量，如缓存投毒、内部网络扫描和会话劫持等。

Red Hat 将该漏洞评级为“重要”级别，因为它可导致攻击者无需身份验证就远程利用，不过利用该漏洞仍然需要有限的用户交互。成功利用该漏洞可导致攻击者窃取用户凭据、劫持更多账户或者获得对内部系统的越权访问权限。

该漏洞严重影响受影响系统的机密性和完整性，如Red Hat Jboss 企业应用平台8.1版本和多个程序包相关组件包括 eap8-undertow、eap8-wildfly和其它相关库等。Red Hat 已发布补丁修复该漏洞。组织机构应当立即应用2026年1月8日发布的更新，相关安全公告为 RHSA-2026:0386和RHSA-2026:0383。目前尚不存在满足 Red Hat 关于易用性和稳定性安全标准的缓解措施，因此用户应立即应用所推荐的补丁。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login