CVE-2026-39852 in io.quarkus:quarkus-vertx-httpالمعلومات

الملخص

بحسب VulDB • 10/05/2026

Quarkus هو إطار عمل جافا (Java) لبناء التطبيقات الأصلية للسحابة (cloud-native). في الإصدارات السابقة لـ 3.20.6.1، و3.27.3.1، و3.33.1.1، و3.35.1.1، و3.34.7، و3.35.2، يسمح عدم اتساق تطبيع المسار (path normalization) بين طبقة الأمان وطبقة التوجيه (routing layer) للمستخدمين غير المصادق عليهم أو ذوي الصلاحيات الأقل بتجاوز سياسات التفويض المستندة إلى مسار HTTP. تقوم طبقة الأمان في Quarkus بإجراء فحوصات التفويض على مسار URL الخام الذي يحافظ على المعلمات المصفوفية (الفواصل المنقوطة)، بينما تقوم طبقة التوجيه في RESTEasy Reactive بإزالة المعلمات المصفوفية قبل مطابقة نقاط النهاية (endpoints). يمكن لمهاجم إلحاق فاصلة منقوطة ونص عشوائي بعنوان URL للطلب (على سبيل المثال، /api/admin;anything) لتجاوز السياسات التي تحمي /api/admin مع الاستمرار في التوجيه إلى نقطة النهاية المحمية. تم إصلاح هذه المشكلة في الإصدارات 3.20.6.1، و3.27.3.1، و3.33.1.1، و3.35.1.1، و3.34.7، و3.35.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

إفشاء

06/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-361109

CPE

جاهز

CWE

CWE-639 (مؤكد)

CVSS

6.3 (VulDB)

EPSS

0.00015

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-39852
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-39852
CVE Details	https://www.cvedetails.com/cve/CVE-2026-39852/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!