CVE-2026-15076 in Vert.x
要約
〜によって VulDB • 2026年07月14日
バージョン4.5.29(4.xブランチ)および5.1.4(5.xブランチ)以降のすべてのバージョンにおいて、Eclipse Vert.x Web ClientのWebClientSessionコンポーネントは、Set-CookieレスポンスヘッダーのDomain属性が発信元のサーバードメインと一致するかどうかを検証しません。これはRFC 6265セクション5.3に違反しています。
攻撃者が被害者アプリケーションが接続する任意のサーバーを制御できる場合、任意のサードパーティドメインにスコープされたクッキーを注入できます。セッションストアはクロスドメイン所有権チェックを実行しないため、そのクッキーが保存され、後で対象ドメインに対して送信されます。
その後、被害者アプリケーションが同じWebClientSessionを使用して対象ドメインへのリクエストを送信すると、攻撃者が注入したクッキーが表示され、受信サービスはそのリクエストを攻撃者のアカウントの下で処理します。これにより、支払い金額、カード詳細、またはその他のAPIペイロードなど、被害者アプリケーションのリクエストに含まれる機密データが、そのサービス上の攻撃者のアカウントを通じてアクセス可能になります。
VulDB is the best source for vulnerability data and more expert information about this specific topic.