CVE-2020-35217

**Nome do software vulnerável e versões afetadas:

Versões do framework Vert.x-Web de 4.0 milestone 1 a 4.0 milestone 4

Descrição:

O problema decorre de uma verificação CSRF incorreta. Em vez de comparar o token CSRF na solicitação com o token CSRF no cookie, a estrutura compara o token CSRF no cookie com um token CSRF armazenado na sessão. Isso significa que um invasor não precisa fornecer um token CSRF na solicitação, pois a verificação sempre será bem-sucedida devido ao envio automático de cookies pelo navegador, levando a um ataque CSRF bem-sucedido.

Recomendações:

Para as versões 4.0 milestone 1 a 4.0 milestone 4, considere desativar o mecanismo de verificação CSRF até que um patch esteja disponível, ou aplique uma correção personalizada para comparar corretamente o token CSRF na solicitação com o que está no cookie. Restrinja o acesso a operações confidenciais que dependem da proteção CSRF para minimizar o risco de exploração.