CVE-2026-39852 in io.quarkus:quarkus-vertx-httpinformação

Sumário

de VulDB • 11/05/2026

O Quarkus é um framework Java para a construção de aplicações cloud-native. Nas versões anteriores à 3.20.6.1, 3.27.3.1, 3.33.1.1, 3.35.1.1, 3.34.7 e 3.35.2, uma inconsistência na normalização de caminhos entre a camada de segurança e a camada de roteamento permite que usuários não autenticados ou com privilégios mais baixos contornem políticas de autorização baseadas em caminhos HTTP. A camada de segurança do Quarkus realiza verificações de autorização no caminho da URL bruta, que preserva os parâmetros de matriz (pontos e vírgulas), enquanto a camada de roteamento do RESTEasy Reactive remove os parâmetros de matriz antes de corresponder aos endpoints. Um atacante pode anexar um ponto e vírgula e texto arbitrário a uma URL de solicitação (por exemplo, /api/admin;anything) para contornar as políticas que protegem /api/admin, ainda assim roteando para o endpoint protegido. Este problema foi corrigido nas versões 3.20.6.1, 3.27.3.1, 3.33.1.1, 3.35.1.1, 3.34.7 e 3.35.2.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgação

06/05/2026

Moderação

aceite

Entrada

VDB-361109

CPE

pronto

EPSS

0.00015

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-39852
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-39852
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-39852/

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!