PT-2026-57987 · Eclipse · Vert.X Web Client

Julien Viet

·

Publicado

2026-07-14

·

Atualizado

2026-07-14

·

CVE-2026-15076

CVSS v4.0

8.2

Alta

VetorAV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Nome do Software Vulnerável e Versões Afetadas Eclipse Vert.x Web Client versões anteriores a 4.5.30 Eclipse Vert.x Web Client versões anteriores a 5.1.5
Description O componente WebClientSession não valida se o atributo Domain de um cabeçalho de resposta Set-Cookie corresponde ao domínio do servidor de origem, violando a seção 5.3 da RFC 6265. Um invasor que controle qualquer servidor contatado pela aplicação vítima pode injetar um cookie vinculado a um domínio de terceiros arbitrário. Como o armazenamento de sessão não realiza a verificação de propriedade entre domínios, ele armazena e posteriormente transmite esse cookie ao domínio alvo. Isso faz com que o serviço receptor processe a requisição sob a conta do invasor, permitindo que dados sensíveis, como valores de pagamento, detalhes de cartão ou outras cargas úteis de API, fiquem acessíveis ao invasor através de sua própria conta nesse serviço.
Recommendations Atualize para a versão 4.5.30 ou posterior para o ramo 4.x. Atualize para a versão 5.1.5 ou posterior para o ramo 5.x.

Correção

Origin Validation Error

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-15076

Produtos afetados

Vert.X Web Client