CVE-2026-15075 in Vert.x정보

요약

\~에 의해 VulDB • 2026. 07. 14.

Eclipse Vert.x 버전 4.5.29(4.x 브랜치) 및 5.1.4(5.x 브랜치) 이하에서 DefaultRedirectHandler(vertx-core)는 모든 요청 헤더를 원본 그대로 교차 출처 HTTP 30x 리다이렉트 간에 전달합니다. Content-Length만 제거되며, 헤더가 리다이렉션 대상에 복사되기 전에 출처 비교(스키마, 호스트, 포트)가 수행되지 않습니다.

그 결과, Authorization, Cookie, Proxy-Authorization 및 X-API-Token과 같은 임의의 사용자 정의 헤더를 포함한 자격 증명 헤더는 호출자의 지식 없이 리다이렉션 대상으로 전달됩니다.

Vert.x HttpClient가 공격자가 제어하는 호스트로 리다이렉트되는 요청을 발생시킬 수 있는 공격자(예: 웹훅 디스패처, 이미지 프록시 또는 마이크로서비스 URL 가져오기 기능에 URL 제공)는 원래 요청에 첨부된 베어러 토큰, 기본 인증 자격 증명, 세션 쿠키 및 API 키를 탈취할 수 있습니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

Eclipse

예약하다

2026. 07. 08.

모더레이션

수락

항목

VDB-378270

EPSS

0.00000

활동

낮음

출처

Do you need the next level of professionalism?

Upgrade your account now!