PT-2026-54858 · Unknown · Async Http Client
Hyperxpro
·
Publicado
2026-07-01
·
Atualizado
2026-07-01
·
CVE-2026-55688
CVSS v3.1
4.0
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
AsyncHttpClient versões 2.0.0 até 2.15.9
AsyncHttpClient versões 3.0.0.Beta1 até 3.0.10
Description
O componente
ThreadSafeCookieStore não verifica se um host respondente está autorizado a definir um cookie para um domínio específico antes de armazená-lo sob o atributo desse domínio. Isso resulta em cookie tossing ou injeção de cookies, onde um host conectado pelo cliente pode implantar um cookie vinculado a um domínio não relacionado. Consequentemente, o cliente enviará esse cookie injetado em requisições subsequentes para esse domínio não relacionado. Isso afeta aplicações que utilizam uma única instância compartilhada de CookieStore para se comunicar com um host confiável e um host influenciado por um atacante.Recommendations
Atualize o AsyncHttpClient para a versão 2.16.0.
Atualize o AsyncHttpClient para a versão 3.0.11.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Async Http Client