PT-2026-29974 · Tornado+4 · Tornado+4

Dhiral2908

Publicado

2026-04-03

Atualizado

2026-06-03

CVE-2026-35536

CVSS v3.1

7.2

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Name of the Vulnerable Software and Affected Versions Versões do Tornado anteriores a 6.5.5

Description Anteriormente à versão 6.5.5, o Tornado é suscetível à injeção de atributos de cookie devido à validação insuficiente dos argumentos domain, path e samesite ao definir cookies usando .RequestHandler.set cookie. Isso pode permitir a injeção de caracteres criados nesses atributos.

Recommendations Atualize para a versão 6.5.5 ou posterior do Tornado.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-159

Identificadores relacionados

ALSA-2026:13641

ALSA-2026:13670

ALSA-2026:19034

ALSA-2026:19189

BDU:2026-07217

CVE-2026-35536

ECHO-B644-E810-F4A8

GHSA-FQWM-6JPJ-5WXC

OESA-2026-1903

RHSA-2026:13641

RHSA-2026:13670

RHSA-2026:20572

RHSA-2026:20573

RHSA-2026:20577

RHSA-2026:20810

USN-8198-1

USN-8198-2

Produtos afetados

Linuxmint

Red Os

Rocky Linux

Tornado

Ubuntu

PT-2026-29974 · Tornado+4 · Tornado+4

CVE-2026-35536

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 49