Uma vulnerabilidade crítica no núcleo do servidor HTTP Undertow — componente usado em aplicações Java como WildFly e Red Hat JBoss EAP — foi anunciada e já recebeu correções oficiais publicadas pela Red Hat.
Descrição técnica e impacto
A falha identificada como CVE-2025-12543 é resultado de validação inadequada do cabeçalho Host em requisições HTTP. Essa falha permite que cabeçalhos malformados passem sem rejeição, abrindo múltiplos vetores de ataque, incluindo envenenamento de cache, varredura interna e sequestro de sessões de utilizadores.
Pontuação e classificação
Relatos indicam pontuação CVSS de 9,6 (classificação crítica em termos de impacto técnico). A Red Hat classificou a vulnerabilidade como de severity "Important" para seus produtos, observando que a exploração pode ser realizada remotamente sem autenticação, embora com necessidade de interação limitada do usuário em alguns cenários.
Produtos afetados e atualizações
Os componentes afetados incluem Red Hat JBoss Enterprise Application Platform 8.1 e pacotes associados que empacotam o Undertow (por exemplo, eap8-undertow e eap8-wildfly). A Red Hat publicou correções em avisos de segurança RHSA-2026:0386 e RHSA-2026:0383, liberados em 8 de janeiro de 2026.
Mitigações e recomendações
- Aplicar imediatamente os boletins RHSA-2026:0386 e RHSA-2026:0383 conforme orientação da Red Hat;
- Auditar e monitorar servidores de aplicação expostos e endpoints que façam proxy reverso, verificando logs para indicadores de requisições com Host headers incomuns ou malformados;
- Considerar regras de WAF para rejeitar padrões anômalos de Host até que os patches sejam aplicados em todos os ambientes;
- Para ambientes onde o patch não possa ser aplicado imediatamente, isolar instâncias vulneráveis de redes públicas e limitar o acesso a redes internas confiáveis.
Evidências e limites
As fontes consultadas não reportam PoC público amplamente explorável em massa no momento das publicações, mas a combinação de exploração remota sem autenticação e alto escore CVSS faz com que a correção seja prioritária. Red Hat não listou mitigações alternativas que atendam seus critérios de estabilidade e facilidade de uso, por isso o patch é a principal ação prescrita.
Consequências para operações
Equipes de segurança e operações de aplicações devem tratar essa correção como de prioridade alta. Ambientes que hospedam serviços críticos em JBoss/WildFly precisam coordenação imediata entre times de aplicação, infraestrutura e provisionamento para aplicar atualizações em janelas controladas e validar integridade pós‑patch.
Fonte: avisos e boletins técnicos publicados pela Red Hat e reportagens especializadas sobre a CVE.