%20(1).webp)
Se ha detectado una vulnerabilidad crítica en el núcleo del servidor HTTP Undertow, empleado frecuentemente en aplicaciones Java como WildFly y JBoss EAP. La falla, identificada como CVE-2025-12543, permite a atacantes secuestrar sesiones de usuario y comprometer sistemas internos al aprovechar una validación incorrecta de las cabeceras HTTP Host. Este problema puede generar fallos en la confidencialidad e integridad, facilitando vectores de ataque como el envenenamiento de caché y escaneo de redes internas.
CVE y severidad
| CVE | Puntaje CVSS | Severidad | Vector de Ataque | CWE | Componentes afectados |
|---|---|---|---|---|---|
| CVE-2025-12543 | 9.6 (Crítica) | Importante | Red | CWE-20 (Validación Incorrecta de Entrada) | Undertow HTTP Server en WildFly, JBoss EAP y bibliotecas relacionadas |
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas |
|---|---|---|---|
| Red Hat | JBoss Enterprise Application Platform | eap8-undertow, eap8-wildfly y otros relacionados | Versión 8.1 y anteriores en varios paquetes |
Solución
Aplicar las actualizaciones publicadas por Red Hat el 8 de enero de 2026 mediante los avisos de seguridad RHSA-2026:0386 y RHSA-2026:0383.
Recomendaciones
Se recomienda priorizar la aplicación inmediata de los parches disponibles para minimizar riesgos. Tras la actualización, validar el correcto funcionamiento de las aplicaciones y sistemas afectados para garantizar la mitigación completa. Mantener buenas prácticas de seguridad para reducir la exposición ante posibles vectores externos.