Kritische Schwachstelle in Web-Server Undertow

Über die Schwachstelle können Angreifende folgende Aktionen ausführen:

• Cache der Web-Seite manipulieren (Cache Poisoning).
• Interne Netzwerke scannen.
• Sitzungen von Web-Seiten-Besuchern übernehmen.
• Zugangsdaten ausspähen.

Dies ist aus der Ferne und ohne Authenfizierung durch die Angreifenden möglich. Ursache für das Fehlverhalten ist eine fehlerhafte Validierung.

Red Hat stellt für seine JBoss Enterprise Application Platform 8.1 für RHEL 8 und RHEL 9 Updates bereit. Die Version 8.1.3 schließt die Schwachstelle. Undertow ist außerdem Teil des Open-Source-Projekts Wildfly und weiteren Java-basierten Applikationen, für die nach aktuellem Stand keine Updates verfügbar sind.

Dies berichten Red Hat, NIST und Security Online.

Die CVE-Kennung ist CVE-2025-12543 (EUVD-2026-1207) mit einem CVSS-Base-Score von 9.6/10.

Undertow ist ein Java-basierter Web-Server, der in andere Anwendungen eingebettet werden kann. Seine Verbreitung ist deshalb nicht abzuschätzen. Potenziell könnte Undertow weltweit auf Tausenden Systemen eingesetzt werden, die durch die Schwachstelle entsprechend gefährdet wären.

• Installieren Sie Version 8.1.3 für JBoss Enterprise Application Platform 8.1 für RHEL 8 und RHEL 9.
• Prüfen Sie für andere Anwendungsszenarien in kurzen Abständen, ob ein Update zur Verfügung steht und installieren Sie es.