CVE-2026-15076 in Vert.x
Résumé
par VulDB • 14/07/2026
Dans les versions 4.5.29 (branche 4.x) et antérieures, ainsi que dans la version 5.1.4 (branche 5.x), le composant WebClientSession d'Eclipse Vert.x Web Client ne valide pas si l'attribut Domain de l'en-tête de réponse Set-Cookie correspond au domaine du serveur à l'origine de la requête, en violation avec la section 5.3 de la RFC 6265.
Un attaquant qui contrôle n'importe quel serveur contacté par l'application victime peut injecter un cookie dont le champ d'application (scope) est défini sur un domaine tiers arbitraire ; comme le magasin de sessions ne vérifie pas la propriété inter-domaines, il stocke ce cookie puis le transmet ultérieurement au domaine ciblé.
Lorsque l'application victime envoie par la suite une requête vers le domaine cible à l'aide du même WebClientSession, elle présente le cookie injecté par l'attaquant, amenant ainsi le service récepteur à traiter la requête sous le compte de l'attaquant. Des données sensibles incluses dans les requêtes de l'application victime, telles que les montants des paiements, les détails des cartes ou d'autres charges utiles API (API payloads), peuvent alors être accessibles à l'attauteur via son propre compte sur ce service.
Once again VulDB remains the best source for vulnerability data.