当前位置: 首页 > news >正文

Undertow CVE-2025-12543

news 2026/5/12 16:55:14 
<!-- 特征配置:SpringBoot项目启用Undertow的标准写法 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <!-- 排除默认的 Tomcat 依赖 --> <exclusions> <exclusion> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-tomcat</artifactId> </exclusion> </exclusions> </dependency> <!-- 引入 Undertow 依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-undertow</artifactId> </dependency>

HTTP 请求走私漏洞的危害具有连锁性和穿透性,CVE-2025-12543 可被攻击者利用实现以下高危操作(无前置权限,远程触发):
绕过 WAF / 反向代理的访问控制:走私的恶意请求可绕过网关、WAF 的规则校验,直接命中后端业务接口;
会话劫持 / 权限越权:走私请求注入 Cookie/Token 等认证信息,窃取合法用户的会话;
后端服务资源耗尽:批量走私请求,导致后端服务器连接池打满、内存溢出,引发拒绝服务(DoS);
请求注入与数据窃取:向后端注入恶意请求,读取 / 篡改业务数据,甚至触发其他代码执行漏洞;
缓存污染:让服务器缓存恶意请求的响应结果,导致其他正常用户访问时加载恶意内容。

Undertow 我们一般项目不会用的,基本都是tomcat weblogic这样的

Tomcat:SpringBoot 默认 的内嵌服务器(80%+ 的项目用这个,不受本次漏洞影响)
Undertow:高性能非阻塞服务器,很多追求性能的项目会手动替换 Tomcat 为 Undertow
Jetty:轻量级服务器,小众场景使用(也不受本次漏洞影响)

package further.common.conf; //Spring Boot 中通过配置类开启严格解析模式(无侵入) import io.undertow.Undertow; import io.undertow.UndertowOptions; import org.springframework.boot.web.embedded.undertow.UndertowBuilderCustomizer; import org.springframework.boot.web.embedded.undertow.UndertowServletWebServerFactory; import org.springframework.boot.web.server.WebServerFactoryCustomizer; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; /** * Undertow CVE-2025-12543 * * @author ZengWenfeng * @date 2026.01.09 * */ @Configuration public class UndertowSecurityConfig { @Bean public WebServerFactoryCustomizer<UndertowServletWebServerFactory> undertowCustomizer() { return new WebServerFactoryCustomizer<UndertowServletWebServerFactory>() { @Override public void customize(UndertowServletWebServerFactory factory) { // 开启严格的HTTP解析模式,拒绝非标准HTTP请求 factory.addBuilderCustomizers(new UndertowBuilderCustomizer() { @Override public void customize(Undertow.Builder builder) { builder.setServerOption(UndertowOptions.STRICT_COOKIE_PARSING, true); builder.setServerOption(UndertowOptions.STRICT_TRANSFER_ENCODING, true); } }); } }; } }
http://www.jsqmd.com/news/222001/

相关文章:

  • Nginx 安装及配置教程(Windows)【安装】
  • 成本优化:用Llama Factory实现高效GPU资源利用
  • 华为OD机试真题双机位C卷【打印机队列】 C语言实现
  • AI如何提升FORTIFY代码扫描效率?
  • yyt0618.15-2019详细解读
  • 【ai搜索】谷歌搜索与数眼智能联网搜索多角度对比
  • AI智能体可能被黑客攻击的 5 种方式(以及如何防范每一种攻击)
  • Thinkphp-Laravel本科生优秀作业交流网站vue
  • Nacos Namespaces未授权访问漏洞的防御策略
  • 模块化多电平变换器MMC(交流380V-直流800V整流)仿真,动稳态性能良好,附带仿真介绍文...
  • 电商大促期间:普罗米修斯监控实战全记录
  • 移远5G-A王炸模组上线!AI+Wi-Fi 8+卫星通信,三重Buff叠满
  • Thinkphp-Laravelvue药品招标采购系统的设计与实现
  • 快速理解 ImportError: libcudart.so.11.0 的定位与修复流程
  • 陪诊小程序开发运营全解析:技术架构+落地逻辑+合规要点
  • 基于正则化极限学习机的数据回归预测算法matlab实现
  • 解决问题 —— 用方程解决复杂应用题专项
  • 高速ADC FMC HPC采集卡ADS54J60,16bit 4通道,原理图PCB代码,F...
  • MATLAB2024B云端体验:免安装即时试用方案
  • python之asynccontextmanager学习
  • Thinkphp-Laravel北京地铁票务APP小程序
  • “入职背景调查”,构建职场信任的第一道防线
  • 更弱智的算法学习 day24
  • 最近在折腾西门子200PLC和施耐德ATV610变频器的Modbus通讯,发现这俩设备配合起来干活是真方便。直接上干货,咱们从最基础的通信配置开始说
  • Thinkphp-Laravel+uniapp微信小程序的毕业论文选题系统设计与实现
  • 西门子水处理1200 PLC程序+触摸屏程序(包含功能块SCL编写及多种功能模块)
  • python之contextmanager
  • Thinkphp-Laravel城市固废垃圾清运车辆管理系统
  • 新手必看:JavaScript堆内存问题入门指南
  • 背调软件如何重塑企业人才风控的底层逻辑