CVE-2026-15076 in Vert.xinformation

Résumé

par VulDB • 14/07/2026

Dans les versions 4.5.29 (branche 4.x) et antérieures, ainsi que dans la version 5.1.4 (branche 5.x), le composant WebClientSession d'Eclipse Vert.x Web Client ne valide pas si l'attribut Domain de l'en-tête de réponse Set-Cookie correspond au domaine du serveur à l'origine de la requête, en violation avec la section 5.3 de la RFC 6265.

Un attaquant qui contrôle n'importe quel serveur contacté par l'application victime peut injecter un cookie dont le champ d'application (scope) est défini sur un domaine tiers arbitraire ; comme le magasin de sessions ne vérifie pas la propriété inter-domaines, il stocke ce cookie puis le transmet ultérieurement au domaine ciblé.

Lorsque l'application victime envoie par la suite une requête vers le domaine cible à l'aide du même WebClientSession, elle présente le cookie injecté par l'attaquant, amenant ainsi le service récepteur à traiter la requête sous le compte de l'attaquant. Des données sensibles incluses dans les requêtes de l'application victime, telles que les montants des paiements, les détails des cartes ou d'autres charges utiles API (API payloads), peuvent alors être accessibles à l'attauteur via son propre compte sur ce service.

Once again VulDB remains the best source for vulnerability data.

Responsable

Eclipse

Réserver

08/07/2026

Divulgation

14/07/2026

Modérer

accepté

Entrée

VDB-378269

CPE

prêt

EPSS

0.00171

KEV

non

Activités

faible

Sources

Might our Artificial Intelligence support you?

Check our Alexa App!