ГлавнаяБаза уязвимостей БДУ → BDU:2024-11486
7.6критическая

BDU:2024-11486

Уязвимость класса RequestBuilder интерфейса CookieStore асинхронной библиотеки обработки HTTP-запросов Async Http Client, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2024-12-24
Описание

Уязвимость класса RequestBuilder интерфейса CookieStore асинхронной библиотеки обработки HTTP-запросов Async Http Client связана с подменой cookie-файлов в результате некорректной процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Async Http Client (от 3.0.0.Beta1 до 3.0.1)Async Http Client (от 2.1.0 до 2.12.4)
Способ устранения

Использование рекомендаций:
https://github.com/AsyncHttpClient/async-http-client/commit/d5a83362f7aed81b93ebca559746ac9be0f95425
https://github.com/AsyncHttpClient/async-http-client/releases/tag/async-http-client-project-3.0.1
https://github.com/AsyncHttpClient/async-http-client/releases/tag/async-http-client-project-2.12.4

Оценка CVSS
Балл7.6 — критическая опасность
Источники и патчи
https://github.com/AsyncHttpClient/async-http-client/commit/d5a83362f7aed81b93ebca559746ac9be0f95425https://github.com/AsyncHttpClient/async-http-client/issues/1964https://github.com/AsyncHttpClient/async-http-client/pull/2033https://github.com/AsyncHttpClient/async-http-client/security/advisories/GHSA-mfj5-cf8g-g2fv
Проверьте безопасность своего сайта и почты → Полная проверка домена