PT-2026-54858 · Unknown · Async Http Client

Hyperxpro

·

Publicado

2026-07-01

·

Atualizado

2026-07-01

·

CVE-2026-55688

CVSS v3.1

4.0

Média

VetorAV:N/AC:H/PR:N/UI:N/S:C/C:N/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas AsyncHttpClient versões 2.0.0 até 2.15.9 AsyncHttpClient versões 3.0.0.Beta1 até 3.0.10
Description O componente ThreadSafeCookieStore não verifica se um host respondente está autorizado a definir um cookie para um domínio específico antes de armazená-lo sob o atributo desse domínio. Isso resulta em cookie tossing ou injeção de cookies, onde um host conectado pelo cliente pode implantar um cookie vinculado a um domínio não relacionado. Consequentemente, o cliente enviará esse cookie injetado em requisições subsequentes para esse domínio não relacionado. Isso afeta aplicações que utilizam uma única instância compartilhada de CookieStore para se comunicar com um host confiável e um host influenciado por um atacante.
Recommendations Atualize o AsyncHttpClient para a versão 2.16.0. Atualize o AsyncHttpClient para a versão 3.0.11.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55688
GHSA-M452-Q8C9-RG2F

Produtos afetados

Async Http Client