CVE-2026-15076 in Vert.x情報

要約

〜によって VulDB • 2026年07月14日

バージョン4.5.29(4.xブランチ)および5.1.4(5.xブランチ)以降のすべてのバージョンにおいて、Eclipse Vert.x Web ClientのWebClientSessionコンポーネントは、Set-CookieレスポンスヘッダーのDomain属性が発信元のサーバードメインと一致するかどうかを検証しません。これはRFC 6265セクション5.3に違反しています。

攻撃者が被害者アプリケーションが接続する任意のサーバーを制御できる場合、任意のサードパーティドメインにスコープされたクッキーを注入できます。セッションストアはクロスドメイン所有権チェックを実行しないため、そのクッキーが保存され、後で対象ドメインに対して送信されます。

その後、被害者アプリケーションが同じWebClientSessionを使用して対象ドメインへのリクエストを送信すると、攻撃者が注入したクッキーが表示され、受信サービスはそのリクエストを攻撃者のアカウントの下で処理します。これにより、支払い金額、カード詳細、またはその他のAPIペイロードなど、被害者アプリケーションのリクエストに含まれる機密データが、そのサービス上の攻撃者のアカウントを通じてアクセス可能になります。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

Eclipse

予約する

2026年07月08日

モデレーション

承諾済み

エントリ

VDB-378269

EPSS

0.00000

アクティビティ

低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!