AsyncHttpClient (AHC) 库的 `CookieStore` 取代了明确定义的 `Cookie` (CVE-2024-53990)
CVE编号
CVE-2024-53990
利用情况
暂无
补丁情况
N/A
披露时间
2024-12-03
漏洞描述
AsyncHttpClient(AHC)库允许Java应用程序轻松地执行HTTP请求并异步处理HTTP响应。在进行任何HTTP请求时,自动启用和自我管理的CookieStore(也称为cookie jar)会静默地用cookie jar中具有相同名称的任何Cookie替换明确定义的Cookie。对于与多个用户一起运行的服务,这可能会导致一个用户的Cookie被用于另一个用户的请求中。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/AsyncHttpClient/async-http-client/commit/d5a83362f7aed81b9...
https://github.com/AsyncHttpClient/async-http-client/issues/1964
https://github.com/AsyncHttpClient/async-http-client/pull/2033
https://github.com/AsyncHttpClient/async-http-client/security/advisories/GHSA...
文章评论