news 2026/4/29 2:22:08

Undertow CVE-2025-12543

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
Undertow CVE-2025-12543 
<!-- 特征配置:SpringBoot项目启用Undertow的标准写法 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <!-- 排除默认的 Tomcat 依赖 --> <exclusions> <exclusion> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-tomcat</artifactId> </exclusion> </exclusions> </dependency> <!-- 引入 Undertow 依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-undertow</artifactId> </dependency>

HTTP 请求走私漏洞的危害具有连锁性和穿透性,CVE-2025-12543 可被攻击者利用实现以下高危操作(无前置权限,远程触发):
绕过 WAF / 反向代理的访问控制:走私的恶意请求可绕过网关、WAF 的规则校验,直接命中后端业务接口;
会话劫持 / 权限越权:走私请求注入 Cookie/Token 等认证信息,窃取合法用户的会话;
后端服务资源耗尽:批量走私请求,导致后端服务器连接池打满、内存溢出,引发拒绝服务(DoS);
请求注入与数据窃取:向后端注入恶意请求,读取 / 篡改业务数据,甚至触发其他代码执行漏洞;
缓存污染:让服务器缓存恶意请求的响应结果,导致其他正常用户访问时加载恶意内容。

Undertow 我们一般项目不会用的,基本都是tomcat weblogic这样的

Tomcat:SpringBoot 默认 的内嵌服务器(80%+ 的项目用这个,不受本次漏洞影响)
Undertow:高性能非阻塞服务器,很多追求性能的项目会手动替换 Tomcat 为 Undertow
Jetty:轻量级服务器,小众场景使用(也不受本次漏洞影响)

package further.common.conf; //Spring Boot 中通过配置类开启严格解析模式(无侵入) import io.undertow.Undertow; import io.undertow.UndertowOptions; import org.springframework.boot.web.embedded.undertow.UndertowBuilderCustomizer; import org.springframework.boot.web.embedded.undertow.UndertowServletWebServerFactory; import org.springframework.boot.web.server.WebServerFactoryCustomizer; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; /** * Undertow CVE-2025-12543 * * @author ZengWenfeng * @date 2026.01.09 * */ @Configuration public class UndertowSecurityConfig { @Bean public WebServerFactoryCustomizer<UndertowServletWebServerFactory> undertowCustomizer() { return new WebServerFactoryCustomizer<UndertowServletWebServerFactory>() { @Override public void customize(UndertowServletWebServerFactory factory) { // 开启严格的HTTP解析模式,拒绝非标准HTTP请求 factory.addBuilderCustomizers(new UndertowBuilderCustomizer() { @Override public void customize(Undertow.Builder builder) { builder.setServerOption(UndertowOptions.STRICT_COOKIE_PARSING, true); builder.setServerOption(UndertowOptions.STRICT_TRANSFER_ENCODING, true); } }); } }; } }
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/4/24 22:48:00

金运环球:被动卖压VS鸽派预期,非农前聚焦关键区间

【市场早间简述】大宗商品指数年度再平衡于昨日盘后正式启动&#xff0c;预计将产生显著被动抛压&#xff0c;昨日金银价格在抛压下V型反弹显示买盘支撑。地缘政治风险持续存在&#xff0c;叠加美联储官员鸽派表态强化降息预期&#xff0c;为市场提供中长期支撑。现货黄金与白银…

作者头像 李华
网站建设 2026/4/25 22:20:57

MySQL:顿悟了,添加索引时竟然不锁表?

一、前言 在 MySQL 数据库中&#xff0c;“锁表” 指的是对数据库表进行锁定&#xff0c;以控制对表中数据的并发访问。锁表是数据库管理系统&#xff08;DBMS&#xff09;用来维护数据一致性和完整性的一种机制。 当某个事务&#xff08;Transaction&#xff09;或操作需要对表…

作者头像 李华
网站建设 2026/4/27 14:22:25

Sheet-to-Doc vs 邮件合并:选择最适合你的文档生成工具

在文档自动化生成领域&#xff0c;邮件合并是一个广为人知的功能&#xff0c;而Sheet-to-Doc则是一款新兴的文档自动化工具。两者都可以实现从Excel数据到Word文档的自动转换&#xff0c;但它们在功能、易用性、性能等方面存在明显差异。今天&#xff0c;我将详细比较Sheet-to-…

作者头像 李华
网站建设 2026/4/27 14:22:20

CUDA out of memory怎么办?Image-to-Video显存优化方案

CUDA out of memory怎么办&#xff1f;Image-to-Video显存优化方案 问题背景与挑战 在使用基于 I2VGen-XL 模型的 Image-to-Video 图像转视频生成器 进行二次开发时&#xff0c;开发者“科哥”遇到了一个典型但棘手的问题&#xff1a;CUDA out of memory&#xff08;显存溢出&a…

作者头像 李华
网站建设 2026/4/20 23:31:48

能否添加背景音乐?后处理功能开发中,支持音频混音导出

能否添加背景音乐&#xff1f;后处理功能开发中&#xff0c;支持音频混音导出 &#x1f3a7; 语音合成的进阶需求&#xff1a;从“能说”到“好听” 当前&#xff0c;基于 Sambert-Hifigan 的中文多情感语音合成系统已实现高质量、低延迟的文本转语音能力。用户可通过 WebUI 或…

作者头像 李华