文章总结： ApacheHttpClient5.6存在SCRAM-SHA-256身份验证绕过漏洞CVE-2026-40542，攻击者可利用缺失的相互验证步骤冒充服务器。该高危漏洞影响数据管道安全，官方已发布5.6.1版本修复，建议立即升级。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,应用安全,网络安全,解决方案

Apache HttpClient 5.6 中存在严重的身份验证绕过漏洞

sec随谈 sec随谈

sec随谈

2026年4月24日 08:57 北京

在小说阅读器读本章

去阅读

Apache 软件基金会发布紧急公告，指出其广泛使用的 HttpClient 库存在漏洞。HttpClient 是基于 Java 的 HTTP 通信的基石。该漏洞编号为CVE-2026-40542，针对 SCRAM-SHA-256 身份验证协议，攻击者可以利用该漏洞诱骗客户端建立不安全的连接。

HttpClient 是传统 Commons HttpClient 的继任者，它是一款高性能、符合 HTTP/1.1 标准的代理，可用于从云端身份验证到状态管理的一切功能。

该漏洞已被评为“重要”严重级别，并且专门影响 Apache HttpClient 版本 5.6。

问题的核心在于身份验证过程中缺少一个关键的验证步骤。当客户端尝试使用 SCRAM-SHA-256（加盐质询响应身份验证机制）登录服务器时，双方都需要向对方证明自己的身份——这个过程称为相互身份验证。

由于缺少这一步骤，攻击者可以使客户端在未正确验证服务器响应的情况下接受身份验证“成功”。这种绕过方法允许攻击者有效地冒充合法服务器，使客户端误以为正在与可信来源通信，而实际上并非如此。

由于 HttpClient 通常深深嵌入到其他 Java 应用程序和微服务中，这种绕过行为可能会对企业数据管道的安全性产生连锁反应。

Apache HttpComponents 项目已发布修复程序，以解决缺失的验证逻辑问题。强烈建议用户和开发人员立即升级到 Apache HttpClient 5.6.1，以恢复正确的双向身份验证验证。

参考链接：

https://lists.apache.org/thread/tfmgv86xr0z1y096vs3z0y315t1v3o97

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《Apache HttpClient 5.6 中存在严重的身份验证绕过漏洞》