Plateforme
python
Composant
tornado
Corrigé dans
6.5.5
6.5.5
La CVE-2026-35536 est une vulnérabilité d'injection d'attribut de cookie affectant Tornado. Les arguments domain, path et samesite de .RequestHandler.set_cookie ne sont pas correctement vérifiés, ce qui permet l'injection de caractères spéciaux. Cette vulnérabilité affecte les versions de Tornado antérieures à 6.5.5. Elle est corrigée dans la version 6.5.5.
CVE-2026-35536 affecte Tornado versions antérieures à 6.5.5, exposant les applications web à une vulnérabilité d'injection d'attributs de cookie. Cette faille se produit parce que la fonction RequestHandler.set_cookie ne valide pas correctement les caractères spéciaux dans les arguments domain, path et samesite. Un attaquant pourrait manipuler ces arguments pour injecter du code malveillant dans les cookies, ce qui pourrait entraîner un vol d'identité, un vol d'informations sensibles ou l'exécution de code arbitraire dans le navigateur de l'utilisateur. La sévérité CVSS est de 7.2, ce qui indique un risque élevé. L'absence de validation permet l'insertion de caractères susceptibles de modifier le comportement attendu du cookie, compromettant ainsi la sécurité de l'application.
Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes HTTP spécialement conçues qui incluent des caractères malveillants dans les paramètres domain, path ou samesite lors de la définition d'un cookie. Par exemple, il pourrait injecter des balises HTML ou JavaScript dans l'attribut domain pour exécuter du code dans le navigateur de l'utilisateur. L'exploitation réussie nécessite que l'application utilise la fonction RequestHandler.set_cookie sans validation adéquate des entrées. L'impact de l'exploitation peut varier en fonction de la configuration de l'application et des privilèges de l'utilisateur concerné. L'absence de validation adéquate ouvre la voie aux attaques de type Cross-Site Scripting (XSS) et à d'autres attaques liées à la manipulation des cookies.
Applications built using Tornado, particularly those handling sensitive user data or financial transactions, are at risk. Web applications relying heavily on cookies for authentication and session management are especially vulnerable. Development teams using older versions of Tornado (≤6.5b1) should prioritize upgrading to the patched version.
• python / server:
import re
# Check for suspicious characters in cookie attributes
log_pattern = re.compile(r'Cookie: .*?(?:domain=[^\s;]+|path=[^\s;]+|samesite=[^\s;]+).*?[\x00-\x1F]')
# Analyze server logs for matches• generic web:
curl -I 'http://your-tornado-app.com/' | grep 'Cookie:'• generic web:
# Check for unusual characters in cookie attributes in access logs
grep -i 'domain=[^;]*[\x00-\x1F][^;]*' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer CVE-2026-35536 consiste à mettre à niveau Tornado vers la version 6.5.5 ou supérieure. Cette version inclut des correctifs de sécurité qui valident les arguments domain, path et samesite dans RequestHandler.setcookie, empêchant ainsi l'injection d'attributs de cookie. De plus, examinez le code de votre application pour identifier et corriger tout usage non sécurisé de la fonction setcookie qui pourrait être vulnérable. La mise en œuvre d'une politique de sécurité des cookies robuste, comprenant la validation des entrées et l'utilisation d'attributs tels que HttpOnly et Secure, peut contribuer à réduire le risque d'exploitation. La surveillance des journaux d'application à la recherche d'activités suspectes liées à la manipulation des cookies est également essentielle.
Actualice a la versión 6.5.5 o superior de Tornado. Esta versión corrige la vulnerabilidad de inyección de atributos de cookies al validar correctamente los argumentos domain, path y samesite en .RequestHandler.set_cookie.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité qui permet à un attaquant d'injecter du code malveillant dans les attributs d'un cookie, compromettant ainsi la sécurité de l'application.
Elle peut entraîner le vol d'informations sensibles, le vol d'identité ou l'exécution de code malveillant dans le navigateur de l'utilisateur.
Mettez en œuvre des mesures d'atténuation, telles que la validation des entrées et l'utilisation d'attributs de sécurité des cookies tels que HttpOnly et Secure.
Il existe des outils d'analyse de sécurité des applications web qui peuvent aider à détecter cette vulnérabilité.
Vous pouvez trouver plus d'informations dans la base de données de vulnérabilités CVE : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-35536
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.