<div dir="ltr">Can anyone point me at a reference that covers if Undertow&#39;s AJP listener is susceptible to the newly-released Ghostcat vulnerability.  Most information centers around Tomcat, but Redhat does have this page mentioning Undertow.<div><br></div><div><a href="https://access.redhat.com/security/cve/CVE-2020-1745">https://access.redhat.com/security/cve/CVE-2020-1745</a> </div><div><br></div><div>However, even the information there seems to revolve around Undertow as it&#39;s embedded in EAP 7 and not Undertow when embedded directly in an application like I use it.</div><div><br></div><div>Is Undertow proper vulnerable?  What versions?  I see a generic ticket mentioning Undertow here</div><div><br></div><div><a href="https://bugzilla.redhat.com/show_bug.cgi?id=1807305">https://bugzilla.redhat.com/show_bug.cgi?id=1807305</a></div><div><br></div><div>but I can&#39;t find any tickets on the Undertow JIRA ticket tracker </div><div><br></div><div><a href="https://issues.redhat.com/issues/?jql=project%20%3D%20UNDERTOW%20AND%20text%20~%20ghostcat">https://issues.redhat.com/issues/?jql=project%20%3D%20UNDERTOW%20AND%20text%20~%20ghostcat</a>  <br></div><div><br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div></div><div>Thanks!</div><div><br></div><div>~Brad</div><div><br></div><div><b>Developer Advocate</b></div><div><i>Ortus Solutions, Corp </i></div><div><b><br></b></div><div>E-mail: <a href="mailto:brad@coldbox.org" target="_blank">brad@coldbox.org</a></div><div>ColdBox Platform: <a href="http://www.coldbox.org" target="_blank">http://www.coldbox.org</a> </div><div>Blog: <a href="http://www.codersrevolution.com" target="_blank">http://www.codersrevolution.com</a></div><div><br></div></div></div></div></div></div></div></div>