Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Validación de entrada incorrecta en HTTP Undertow de HPE

Fecha de publicación 01/04/2026
Identificador
INCIBE-2026-251
Importancia
5 - Crítica
Recursos Afectados

HPE Telco Network Function Virtualization Orchestrator v7.5.0 y anteriores.

Descripción

HPE ha informado de una vulnerabilidad de severidad crítica que podría permitir comprometer el sistema mediante diversos vectores de ataque.

Solución

Actualizar HPE Telco Network Function Virtualization Orchestrator a la v7.5.1.

Detalle

CVE-2025-12543: vulnerabilidad en el núcleo del servidor HTTP Undertow, utilizado en WildFly, JBoss EAP y otras aplicaciones Java. La biblioteca Undertow no valida correctamente el encabezado Host en las solicitudes HTTP entrantes. Como resultado, las solicitudes que contienen encabezados Host mal formados o maliciosos se procesan sin ser rechazadas, lo que permite a los atacantes envenenar cachés, realizar escaneos de red internos o secuestrar sesiones de usuario.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2025-12543 Crítica No HPE
Listado de referencias
HPESBNW05026 rev.2 - Multiple Vulnerabilities in HPE Aruba Networking Wireless Operating Systems (AOS-8 and AOS-10) for Mobility Conductors, Controllers, Gateways, and Access Points.
Etiquetas