PT-2026-57986 · Eclipse · Vert.X

Publicado

2026-07-14

·

Atualizado

2026-07-14

·

CVE-2026-15075

CVSS v4.0

8.2

Alta

VetorAV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Eclipse Vert.x versões anteriores a 4.5.30 Eclipse Vert.x versões anteriores a 5.1.5
Description O DefaultRedirectHandler no módulo vertx-core propaga todos os cabeçalhos de requisição durante redirecionamentos HTTP 30x de origens cruzadas sem realizar comparações de origem do esquema, host ou porta. Embora o cabeçalho Content-Length seja removido, outros cabeçalhos sensíveis, como Authorization, Cookie, Proxy-Authorization e cabeçalhos personalizados como X-API-Token, são encaminhados para o destino do redirecionamento. Um invasor pode explorar isso induzindo uma requisição a ser redirecionada para um host sob seu controle, permitindo a captura de tokens bearer, credenciais de autenticação básica, cookies de sessão e chaves de API.
Recommendations Atualize para a versão 4.5.30 ou posterior. Atualize para a versão 5.1.5 ou posterior.

Correção

Origin Validation Error

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-15075

Produtos afetados

Vert.X