CVE-2026-15076 in Vert.xinformación

Resumen

por VulDB • 2026-07-14

En las versiones anteriores e iguales a 4.5.29 (rama 4.x) y 5.1.4 (rama 5.x), el componente WebClientSession de Eclipse Vert.x Web Client no valida que el atributo Domain del encabezado Set-Cookie coincida con el dominio del servidor origen, en violación de la sección 5.3 de RFC 6265.

Un atacante que controle cualquier servidor al que se conecte la aplicación víctima puede inyectar una cookie limitada a un dominio arbitrario de terceros; dado que el almacén de sesiones no realiza ninguna verificación de propiedad cruzada entre dominios, almacena y transmite posteriormente esa cookie al dominio objetivo.

Cuando la aplicación víctima envía posteriormente una solicitud al dominio objetivo utilizando el mismo WebClientSession, presenta la cookie inyectada por el atacante, lo que hace que el servicio receptor procese la solicitud en nombre de la cuenta del atacante. Los datos sensibles incluidos en las solicitudes de la aplicación víctima, como montos de pago, detalles de tarjetas u otras cargas útiles de API, pueden entonces ser accesibles para el atacante a través de su propia cuenta en ese servicio.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

Eclipse

Reservar

2026-07-08

Divulgación

2026-07-14

Moderación

aceptado

Artículo

VDB-378269

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!