CVE-2022-36032 in HTTPinformation

Résumé

par VulDB • 10/07/2026

ReactPHP HTTP est une implémentation de client et serveur HTTP en streaming pour ReactPHP. Dans le composant serveur HTTP de ReactPHP, les versions à partir de 0.7.0 et antérieures à la version 1.7.0, lors du traitement des valeurs de cookies HTTP entrants, les noms de cookies sont décodés au format URL (url-decoded). Cela peut entraîner une confusion entre les cookies dont le nom commence par `__Host-` ou `__Secure-` et ceux qui se décodent pour former ces préfixes, permettant ainsi à un attaquant de forger des cookies censés être sécurisés. Ce problème est corrigé dans la version 1.7.0 de ReactPHP HTTP. En attendant une mise à jour, les équipes Infrastructure ou DevOps peuvent placer un proxy inverse devant le serveur HTTP ReactPHP pour filtrer tout en-tête de requête `Cookie` inattendu.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub, Inc.

Réserver

15/07/2022

Divulgation

06/09/2022

Modérer

accepté

Entrée

VDB-207916

CPE

prêt

EPSS

0.00804

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!