Bug critico colpisce Undertow: Migliaia di applicazioni Java a rischio compromissione

È stata scoperta una falla nelle fondamenta dell’ecosistema web Java. Undertow, il server web ad alte prestazioni che alimenta pesi massimi aziendali come WildFly e JBoss EAP, è stato colpito da una vulnerabilità di sicurezza critica.

Identificata come CVE-2025-12543, questa falla da 9,6 di score, consente agli aggressori di sfruttare l’intestazione HTTP Host, aprendo la porta a cache poisoning, ricognizione interna e dirottamento di sessione.

La vulnerabilità risiede nel modo in cui il core di Undertow elabora il traffico web in entrata. In una richiesta HTTP standard, l’intestazione Host indica al server quale sito web il client sta cercando di raggiungere. Funge da etichetta di routing.

In sintesi Undertow non riesce a convalidare correttamente questa intestazione. Invece di rifiutare input Host malformati o dannosi, il server li elabora senza fare domande. Le implicazioni di questa “Host Header Injection” sono gravi e molteplici.

• Avvelenamento della cache: gli aggressori possono ingannare il server (o le cache downstream) inducendolo a fornire contenuti dannosi a utenti legittimi. Immagina un utente che richiede una pagina di accesso sicura ma riceve una versione avvelenata perché la cache è stata danneggiata da un’intestazione Host falsificata.
• Scansioni di rete interna: la falla può essere sfruttata per eseguire attacchi di tipo Server-Side Request Forgery (SSRF), sondando la rete interna della vittima per mappare servizi nascosti che non dovrebbero mai essere visibili al mondo esterno.
• Session Hijacking: manipolando il modo in cui vengono generati i link o il modo in cui il server percepisce la sessione dell’utente, gli aggressori possono rubare le credenziali e dirottare gli account.

Gli esperti di sicurezza avvertono che questa falla può essere sfruttata da remoto senza autenticazione, il che significa che un aggressore non ha bisogno di alcun accesso preventivo per lanciare un attacco.

Sebbene la gravità sia classificata come “critica” a causa della richiesta di un’interazione limitata da parte dell’utente per ottenere il massimo impatto (ad esempio, inducendo un utente a cliccare su un link infetto), l’enorme potenziale di danno porta il punteggio CVSS a livelli quasi massimi. La vulnerabilità colpisce direttamente la riservatezza e l’integrità dei sistemi interessati.

Poiché Undertow è progettato per essere incorporabile, raramente funziona da solo. È il server web predefinito per WildFly (ex JBoss AS) e JBoss Enterprise Application Platform (EAP), il che significa che questa vulnerabilità è probabilmente presente in migliaia di applicazioni Java aziendali in tutto il mondo.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks