CVE-2026-15076 in Vert.xinformação

Sumário

de VulDB • 14/07/2026

Nas versões até 4.5.29 (ramo 4.x) e 5.1.4 (ramo 5.x), o componente WebClientSession do Eclipse Vert.x Web Client não valida se o atributo Domain de um cabeçalho Set-Cookie corresponde ao domínio do servidor de origem, violando a seção 5.3 da RFC 6265.

Um atacante que controle qualquer servidor com o qual o aplicativo da vítima interage pode injetar um cookie limitado a um domínio arbitrário de terceiros; como o armazenamento de sessão não realiza nenhuma verificação de propriedade entre domínios, ele armazena e posteriormente transmite esse cookie para o domínio visado.

Quando o aplicativo da vítima envia subsequentemente uma solicitação ao domínio visado usando o mesmo WebClientSession, apresenta o cookie injetado pelo atacante, fazendo com que o serviço receptor processe a solicitação em nome da conta do atacante. Dados sensíveis incluídos nas solicitações do aplicativo da vítima, como valores de pagamento, detalhes do cartão ou outras cargas úteis de API, podem então ser acessados ao atacante por meio de sua própria conta nesse serviço.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

Eclipse

Reservar

08/07/2026

Divulgação

14/07/2026

Moderação

aceite

Entrada

VDB-378269

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!