CVE-2026-55767
ŚrednieCVSS 5.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece Guzzle (PHP HTTP client) przed wersją 7.12.1 pozwala na nieprawidłowe akceptowanie ciasteczek z atrybutem Domain zawierającym tylko kropkę lub jej warianty z białymi znakami. SetCookie::matchesDomain() usuwa wiodące kropki, normalizując wartość do pustego stringa, co powoduje, że ciasteczko jest dopasowywane do każdego hosta żądania. Atakujący może ustawić ciasteczko w współdzielonym kontenerze ciasteczek, które Guzzle wyśle do niezwiązanych hostów.
Ocena ryzyka
Ryzyko obejmuje możliwość wstrzyknięcia ciasteczka lub fiksacji sesji w aplikacjach korzystających z tej biblioteki, co może prowadzić do nieautoryzowanego dostępu do danych lub przejęcia sesji użytkownika.
Rekomendacja
Zaleca się natychmiastową aktualizację biblioteki Guzzle do wersji 7.12.1 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Guzzle is an extensible PHP HTTP client. Prior to 7.12.1, CookieJar incorrectly accepts cookies with a dot-only Domain attribute and whitespace-padded variants. SetCookie::matchesDomain() removes leading dots from the cookie domain, normalizing dot-only values to the empty string; SetCookie::validate() only rejected a strictly empty domain, so these cookies could be stored and the empty normalized domain was treated as matching any request host. An attacker-controlled origin that an application requests with a shared cookie jar can therefore set a cookie that Guzzle later sends to unrelated hosts using the same jar. This may allow cookie injection or session fixation against downstream services, depending on how those services interpret the injected cookie. This vulnerability is fixed in 7.12.1.

