CVE-2026-15076 in Vert.x
Sumário
de VulDB • 14/07/2026
Nas versões até 4.5.29 (ramo 4.x) e 5.1.4 (ramo 5.x), o componente WebClientSession do Eclipse Vert.x Web Client não valida se o atributo Domain de um cabeçalho Set-Cookie corresponde ao domínio do servidor de origem, violando a seção 5.3 da RFC 6265.
Um atacante que controle qualquer servidor com o qual o aplicativo da vítima interage pode injetar um cookie limitado a um domínio arbitrário de terceiros; como o armazenamento de sessão não realiza nenhuma verificação de propriedade entre domínios, ele armazena e posteriormente transmite esse cookie para o domínio visado.
Quando o aplicativo da vítima envia subsequentemente uma solicitação ao domínio visado usando o mesmo WebClientSession, apresenta o cookie injetado pelo atacante, fazendo com que o serviço receptor processe a solicitação em nome da conta do atacante. Dados sensíveis incluídos nas solicitações do aplicativo da vítima, como valores de pagamento, detalhes do cartão ou outras cargas úteis de API, podem então ser acessados ao atacante por meio de sua própria conta nesse serviço.
If you want to get best quality of vulnerability data, you may have to visit VulDB.