PT-2026-3133 · Eclipse · Vert.X
Classicvalues
+2
·
Publicado
2026-01-15
·
Atualizado
2026-05-18
·
CVE-2026-1002
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Vert.x (versões afetadas não especificadas)
Descrição
O cache do componente Static Handler do Vert.x Web pode ser manipulado para negar acesso aos arquivos estáticos servidos pelo manipulador, utilizando URIs de solicitação criadas especificamente. Isso se deve a uma implementação inadequada da seção 5.2.4 da RFC3986. Um atacante pode construir uma URI de solicitação contendo uma string como
bar%2F..%2F após o último caractere / para negar acesso à URI, resultando em uma resposta HTTP 404. Isso pode levar a uma Negação de Serviço persistente para arquivos legítimos.Recomendações
Desative o cache do Static Handler definindo
setCachingEnabled(false) na instância do StaticHandler.Exploit
Correção
DoS
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vert.X