CVE-2026-45300
WysokieCVSS 7.4Streszczenie
Biblioteka AsyncHttpClient (AHC) w wersjach 2.x przed 2.15.0 oraz 3.x przed 3.0.10 ujawnia nagłówki `Cookie` podczas przekierowań do innych źródeł. Metoda `propagatedHeaders()` nie usuwa nagłówka `Cookie`, co prowadzi do wysyłania ciasteczek sesyjnych do serwerów kontrolowanych przez atakujących.
Ocena ryzyka
Ujawnienie nagłówków `Cookie` może prowadzić do kradzieży sesji i innych wrażliwych danych, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i użytkowników.
Rekomendacja
Zaleca się aktualizację biblioteki AsyncHttpClient do wersji 2.15.0 lub 3.0.10, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
The AsyncHttpClient (AHC) library allows Java applications to easily execute HTTP requests and asynchronously process HTTP responses. Versions on the 2.x branch prior to 2.15.0 and the 3.x branch prior to 3.0.10 leak `Cookie` headers to cross-origin redirect targets. When following a redirect to a different origin, the `propagatedHeaders()` method in `Redirect30xInterceptor.java` strips `Authorization` and `Proxy-Authorization` headers but does not strip the `Cookie` header, causing session cookies and other sensitive cookie values to be sent to attacker-controlled servers. Versions 2.15.0 and 3.0.10 patch the issue.

