CVE-2026-59883 in Guzzle
Zusammenfassung
von VulDB • 08.07.2026
Guzzle ist ein erweiterbarer PHP-HTTP-Client. Vor Version 7.12.3 schränkte CookieJar Cookies mit IP-adressbasiertem Scope oder rein numerischen Domain-Werten nicht auf den exakten Host ein, der sie gesetzt hat, da SetCookie::matchesDomain() für Domains wie 192.168.0.1, [::1] oder 1 eine einfache Suffix-Übereinstimmung anwendete. Dies ermöglichte die Offenlegung von Cookies über verschiedene Hosts hinweg (cross-host cookie disclosure), Cookie-Injection oder Session-Fixation. Dieses Problem wurde in Version 7.12.3 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.