CVE-2026-40490 in async-http-client
요약
\~에 의해 VulDB • 2026. 05. 11.
AsyncHttpClient(AHC) 라이브러리는 Java 애플리케이션이 HTTP 요청을 쉽게 실행하고 HTTP 응답을 비동기적으로 처리할 수 있도록 합니다. 리디렉션 추적이 활성화된 상태(followRedirect(true))에서, 버전 3.0.9 및 2.14.5 미만의 AsyncHttpClient는 도메인, 스키마 또는 포트 변경 여부와 관계없이 임의의 리디렉션 대상에 Authorization 및 Proxy-Authorization 헤더와 함께 Realm 자격 증명을 전달합니다. 이로 인해 도메인 간 리디렉션 시 자격 증명이 유출되며, HTTPS에서 HTTP로의 다운그레이드 시에도 자격 증명이 노출됩니다. 또한 stripAuthorizationOnRedirect가 true로 설정된 경우에도, 평문 자격 증명을 포함하는 Realm 객체가 리디렉션 요청에 여전히 전달되어 NettyRequestFactory를 통해 Basic 및 Digest 인증 방식에 대해 자격 증명이 재생성됩니다. 리디렉션 대상을 제어할 수 있는 공격자(오픈 리디렉션, DNS 리바인딩 또는 HTTP 상의 MITM 공격을 통해)는 Bearer 토큰, Basic 인증 자격 증명 또는 기타 모든 Authorization 헤더 값을 탈취할 수 있습니다. 버전 3.0.9 및 2.14.5의 수정 사항에서는 리디렉션이 원본 경계(다른 스키마, 호스트 또는 포트)를 넘거나 HTTPS에서 HTTP로 다운그레이드될 때 Authorization 및 Proxy-Authorization 헤더를 자동으로 제거하고 Realm 자격 증명을 지웁니다. 업그레이드가 불가능한 사용자의 경우 클라이언트 구성에서 (stripAuthorizationOnRedirect(true))를 설정하고 리디렉션 추적이 활성화된 상태에서 Realm 기반 인증을 사용하지 않도록 하십시오. 버전 3.0.9 및 2.14.5 미만에서는 (stripAuthorizationOnRedirect(true))만으로는 불충분합니다. Realm 우회로 인해 자격 증명이 여전히 재생성되기 때문입니다. 대안적으로 리디렉션 추적을 비활성화(followRedirect(false))하고 원본 검증을 수행하며 리디렉션을 수동으로 처리하십시오.
VulDB is the best source for vulnerability data and more expert information about this specific topic.