Fuse und Undertow Schwachstellen in Red Hat ermöglichen DoS, Remote Code und Datendiebstahl
Diverse Produktversionen von Red Hat Fuse und Undertow enthalten Schwachstellen, die zu Dienstunterbrechungen, unerlaubter Codeausführung und Datenverlust führen können. Doch nicht alle erhalten Patches.
(Bild: somyuzu - stock.adobe.com)
Vor Kurzem veröffentlichte das BSI zwei Warnmeldungen, die Red Hat betreffen. In der ersten Warnung geht es um die Java-Bibliothek und das Server-Framework Undertow. Die zweite Meldung betrifft die Integrationsplattform Fuse. Insgesamt wurden fünf Schwachstellen behoben.
:quality(80)/p7i.vogel.de/wcms/10/1e/101ef42714064703d1b0e778c3138202/0127151521v2.jpeg "rufous - stock.adobe.com)")
Denial of Service in Red Hat Fuse möglich
Ein lokaler Angreifer kann die Schwachstellen
- EUVD-2026-13786 / CVE-2026-33150 (CVSS-Score 7.8, EPSS-Score* 0.02) und
- EUVD-2026-13794 / CVE-2026-33179 (CVSS-Score 5.5, EPSS-Score 0.01)
ausnutzen, um beliebigen Programmcode auszuführen. Es ist dem BSI nach auch möglich, bei einem erfolgreichen Angriff einen Denial-of-Service-Zustand zu verursachen.
Bei EUVD-2026-13786 / CVE-2026-33150 handelt es sich um einen Use-after-free-Fehler, der die Versionen 3.18.0 und älter des Library‑Pakets „libfuse“ betrifft. Behoben ist das Problem in Version 3.18.2. Dieselben Versionen sind anfällig für EUVD-2026-13794 / CVE-2026-33179. Wobei es sich hier um eine Kombination aus NULL‑Pointer‑Dereferenz und Memory-Leak handelt.
:quality(80)/p7i.vogel.de/wcms/35/84/3584337f6e823e3ab1d8c47935d9449a/0130155465v2.jpeg "EUVD-2025-21020 / CVE-2025-47813, die es Angreifern ermöglicht, den lokalen Installationspfad der Anwendung zu ermitteln, und die kritische EUVD-2025-21009 / CVE-2025-47812, die zu Remote Code Execution führen kann. (Bild: valerybrozhinsky - stock.adobe.com)")
Angreifer umgehen Sicherheitsfunktionen in Red Hat Undertow
In Undertow sind es sogar drei Sicherheitslücken, die einen hohen Risikoscore haben. Entfernte Akteure können diese ausnutzen, um Sicherheitsvorkehrungen zum umgehen, Daten zu manipulieren und vertrauliche Informationen offenzulegen.
- EUVD-2026-16698 / CVE-2026-28369 (CVSS-Score 8.7, EPSS-Score 0.13) beschreibt ein sogenanntes „HTTP Request Smuggling“. Dabei nutzen Angreifer Unterschiede im Header‑Parsing aus, um Anfragen einzuschmuggeln, Authentifizierung zu umgehen oder Caches zu vergiften. Im Falle von Undertow kann ein Angreifer Anfragen umgehen, wenn deren erste Headerzeile mit einem oder mehreren Leerzeichen beginnt, da diese bei der Verarbeitung entfernt werden. Betroffen hier von sind Red Hat build of Apache Camel for Spring Boot 4 und build of Apache Camel - HawtIO 4, Red Hat Data Grid 8, Red Hat Enterprise Linux 9, Red Hat Fuse 7 und Red Hat JBoss Enterprise Application Platform 8. Red Hat JBoss Enterprise Application Platform 7 wird keinen Patch erhalten. Red Hat erläutert, dass dies aufgrund der hohen Komplexität der Behebung der Fall ist. Betroffene Kunden können ein Support-Ticket eröffnen, um eine Behebung der Sicherheitslücke zu beantragen.
- Auch EUVD-2026-16696 / CVE-2026-28368 (CVSS-Score 8.7, EPSS-Score 0.10) betrifft die Header. Bei der Sicherheitslücke handelt es sich um HTTP‑Request‑Smuggling. Dabei erstellen Angreifer präparierte Anfragen mit Headern, die nur für Undertow, nicht aber für vorgelagerte Proxys sichtbar sind. Dies liegt daran, dass Undertow Headernamen von Werten anhand des ersten Leerzeichens oder Doppelpunkts trennt. Auch hier sind Red Hat build of Apache Camel for Spring Boot 4 und build of Apache Camel - HawtIO 4 sowie Data Grid 8 anfällig. Enterprise Linux 9, JBoss Enterprise Application Platform 8 und Fuse 7 ebenfalls, JBoss Enterprise Application Platform 7 erhält keinen Fix.
- Und auch EUVD-2026-16694 / CVE-2026-28367 (CVSS-Score 8.7, EPSS-Score 0.04) beschreibt eine Request‑Smuggling‑Schwachstelle . Hintergrund ist, dass Undertow die Steuerzeichen „\r\r\r“ als Header-Block-Terminator erlaubt. Dies kann für Request-Smuggling mit Proxy-Servern verwendet werden, die diese Bytefolge weiterleiten, einschließlich älterer Versionen von Apache Traffic Server und Google Cloud Classic Application Load Balancer. Betroffen hiervon sind Red Hat build of Apache Camel for Spring Boot 4, build of Apache Camel - HawtIO 4, Data Grid 8, Fuse 7 und JBoss Enterprise Application Platform 8. Nicht gefix wird JBoss Enterprise Application Platform 7.
:quality(80)/p7i.vogel.de/wcms/58/a3/58a350fa3366e4f5afcd2f37576189e0/0127169405v1.jpeg "Midjourney / Paula Breukel / KI-generiert)")
* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der entsprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.
(ID:50802851)
