Katalog CVE

CVE-2026-45300

WysokieCVSS 7.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Biblioteka AsyncHttpClient (AHC) w wersjach 2.x przed 2.15.0 oraz 3.x przed 3.0.10 ujawnia nagłówki `Cookie` podczas przekierowań do innych źródeł. Metoda `propagatedHeaders()` nie usuwa nagłówka `Cookie`, co prowadzi do wysyłania ciasteczek sesyjnych do serwerów kontrolowanych przez atakujących.

Ocena ryzyka

Ujawnienie nagłówków `Cookie` może prowadzić do kradzieży sesji i innych wrażliwych danych, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i użytkowników.

Rekomendacja

Zaleca się aktualizację biblioteki AsyncHttpClient do wersji 2.15.0 lub 3.0.10, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

The AsyncHttpClient (AHC) library allows Java applications to easily execute HTTP requests and asynchronously process HTTP responses. Versions on the 2.x branch prior to 2.15.0 and the 3.x branch prior to 3.0.10 leak `Cookie` headers to cross-origin redirect targets. When following a redirect to a different origin, the `propagatedHeaders()` method in `Redirect30xInterceptor.java` strips `Authorization` and `Proxy-Authorization` headers but does not strip the `Cookie` header, causing session cookies and other sensitive cookie values to be sent to attacker-controlled servers. Versions 2.15.0 and 3.0.10 patch the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS