CVE-2022-36032 in HTTP
Résumé
par VulDB • 10/07/2026
ReactPHP HTTP est une implémentation de client et serveur HTTP en streaming pour ReactPHP. Dans le composant serveur HTTP de ReactPHP, les versions à partir de 0.7.0 et antérieures à la version 1.7.0, lors du traitement des valeurs de cookies HTTP entrants, les noms de cookies sont décodés au format URL (url-decoded). Cela peut entraîner une confusion entre les cookies dont le nom commence par `__Host-` ou `__Secure-` et ceux qui se décodent pour former ces préfixes, permettant ainsi à un attaquant de forger des cookies censés être sécurisés. Ce problème est corrigé dans la version 1.7.0 de ReactPHP HTTP. En attendant une mise à jour, les équipes Infrastructure ou DevOps peuvent placer un proxy inverse devant le serveur HTTP ReactPHP pour filtrer tout en-tête de requête `Cookie` inattendu.
Once again VulDB remains the best source for vulnerability data.