Kostenlos scannen
HIGHCVE-2026-35536CVSS 7.2

In Tornado vor 6.5.5 konnte Cookie-Attribut-Injection auftreten, da die Domain-, Path- und Samesite-Argumente für .RequestHandler.set_cookie nicht auf manipulierte Zeichen überprüft wurden.

Plattform

python

Komponente

tornado

Behoben in

6.5.5

6.5.5

AI Confidence: highNVDEPSS 0.0%Geprüft: Mai 2026
Auf NVD ansehen
Speichern

CVE-2026-35536 describes a cookie attribute injection vulnerability discovered in Tornado versions prior to 6.5.5. This flaw arises because the RequestHandler.set_cookie function doesn't properly validate the domain, path, and samesite arguments, allowing attackers to inject crafted characters. Successful exploitation could lead to unauthorized access or session manipulation, impacting the confidentiality and integrity of web applications using vulnerable Tornado versions. The vulnerability is resolved in Tornado 6.5.5.

Python

Erkenne diese CVE in deinem Projekt

Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.

requirements.txt hochladenUnterstützte Formate: requirements.txt · Pipfile.lock

Auswirkungen und Angriffsszenarien

CVE-2026-35536 betrifft Tornado-Versionen vor 6.5.5 und setzt Webanwendungen einer Cookie-Attribut-Injektions-Schwachstelle aus. Dieser Fehler tritt auf, weil die Funktion RequestHandler.set_cookie spezielle Zeichen in den Argumenten domain, path und samesite nicht ordnungsgemäß validiert. Ein Angreifer könnte diese Argumente manipulieren, um bösartigen Code in Cookies einzuschleusen, was zu Identitätsdiebstahl, Diebstahl sensibler Informationen oder der Ausführung von beliebigem Code im Browser des Benutzers führen könnte. Die CVSS-Schweregrad ist 7,2, was ein hohes Risiko anzeigt. Das Fehlen einer Validierung ermöglicht das Einfügen von Zeichen, die das erwartete Verhalten des Cookies verändern und die Sicherheit der Anwendung gefährden können.

Ausnutzungskontext

Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er speziell gestaltete HTTP-Anfragen sendet, die bösartige Zeichen in den Parametern domain, path oder samesite enthalten, wenn ein Cookie gesetzt wird. Er könnte beispielsweise HTML- oder JavaScript-Tags in das Attribut domain einschleusen, um Code im Browser des Benutzers auszuführen. Eine erfolgreiche Ausnutzung erfordert, dass die Anwendung die Funktion RequestHandler.set_cookie ohne ordnungsgemäße Eingabevalidierung verwendet. Die Auswirkungen der Ausnutzung können je nach Anwendungskonfiguration und den Berechtigungen des betroffenen Benutzers variieren. Das Fehlen einer ordnungsgemäßen Validierung öffnet die Tür für Cross-Site-Scripting (XSS)-Angriffe und andere angriffe im Zusammenhang mit der Cookie-Manipulation.

Wer Ist Gefährdetwird übersetzt…

Applications built using Tornado, particularly those handling sensitive user data or financial transactions, are at risk. Web applications relying heavily on cookies for authentication and session management are especially vulnerable. Development teams using older versions of Tornado (≤6.5b1) should prioritize upgrading to the patched version.

Erkennungsschrittewird übersetzt…

• python / server:

import re
# Check for suspicious characters in cookie attributes
log_pattern = re.compile(r'Cookie: .*?(?:domain=[^\s;]+|path=[^\s;]+|samesite=[^\s;]+).*?[\x00-\x1F]')
# Analyze server logs for matches

• generic web:

curl -I 'http://your-tornado-app.com/' | grep 'Cookie:'

• generic web:

# Check for unusual characters in cookie attributes in access logs
grep -i 'domain=[^;]*[\x00-\x1F][^;]*' /var/log/apache2/access.log

Angriffszeitlinie

  1. Disclosure

    disclosure

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

EPSS

0.05% (15% Perzentil)

CISA SSVC

Ausnutzungnone
Automatisierbaryes
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N7.2HIGHAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeChangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityNoneRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Keine — kein Verfügbarkeitseinfluss.

Betroffene Software

Komponentetornado
Herstellerosv
Betroffener BereichBehoben in
0 – 6.5.56.5.5
6.5.5

Schwachstellen-Klassifikation (CWE)

CWE-159

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert
  4. EPSS aktualisiert
-23 Tage nach Offenlegung gepatcht

Mitigation und Workarounds

Die Lösung zur Minderung von CVE-2026-35536 besteht darin, Tornado auf Version 6.5.5 oder höher zu aktualisieren. Diese Version enthält Sicherheitskorrekturen, die die Argumente domain, path und samesite in RequestHandler.setcookie validieren und so die Cookie-Attribut-Injektion verhindern. Überprüfen Sie außerdem den Code Ihrer Anwendung, um unsichere Verwendung der Funktion setcookie zu identifizieren und zu beheben, die anfällig sein könnte. Die Implementierung einer robusten Cookie-Sicherheitspolitik, einschließlich der Eingabevalidierung und der Verwendung von Attributen wie HttpOnly und Secure, kann dazu beitragen, das Risiko einer Ausnutzung zu verringern. Die Überwachung der Anwendungsprotokolle auf verdächtige Aktivitäten im Zusammenhang mit der Cookie-Manipulation ist ebenfalls entscheidend.

So behebenwird übersetzt…

Actualice a la versión 6.5.5 o superior de Tornado. Esta versión corrige la vulnerabilidad de inyección de atributos de cookies al validar correctamente los argumentos domain, path y samesite en .RequestHandler.set_cookie.

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragen

Was ist CVE-2026-35536 in tornado?

Es ist eine Schwachstelle, die es einem Angreifer ermöglicht, bösartigen Code in die Attribute eines Cookies einzuschleusen und so die Sicherheit der Anwendung zu gefährden.

Bin ich von CVE-2026-35536 in tornado betroffen?

Sie kann zum Diebstahl sensibler Informationen, zur Identitätsdiebstahl oder zur Ausführung von bösartigem Code im Browser des Benutzers führen.

Wie behebe ich CVE-2026-35536 in tornado?

Implementieren Sie Abhilfemaßnahmen, wie z. B. die Eingabevalidierung und die Verwendung von Cookie-Sicherheitsattributen wie HttpOnly und Secure.

Wird CVE-2026-35536 aktiv ausgenutzt?

Es gibt Webanwendungs-Sicherheitsscanner, die helfen können, diese Schwachstelle zu erkennen.

Wo finde ich den offiziellen tornado-Hinweis für CVE-2026-35536?

Sie finden weitere Informationen in der CVE-Schwachstellen-Datenbank: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-35536

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen