Platform
python
Component
tornado
Opgelost in
6.5.5
6.5.5
CVE-2026-35536 betreft een cookie attribute injectie kwetsbaarheid in Tornado, een Python web framework. Deze kwetsbaarheid ontstaat doordat de domain, path en samesite argumenten aan .RequestHandler.set_cookie niet adequaat worden gecontroleerd op kwaadaardige karakters. Het exploiteren van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige informatie. De kwetsbaarheid treft versies van Tornado tot en met 6.5b1, maar is verholpen in versie 6.5.5.
CVE-2026-35536 treft Tornado-versies ouder dan 6.5.5, waardoor webapplicaties kwetsbaar worden voor cookie-attribuutinjectie. Deze fout treedt op omdat de functie RequestHandler.set_cookie speciale tekens in de argumenten domain, path en samesite niet correct valideert. Een aanvaller kan deze argumenten manipuleren om kwaadaardige code in cookies te injecteren, wat kan leiden tot identiteitsdiefstal, diefstal van gevoelige informatie of de uitvoering van willekeurige code in de browser van de gebruiker. De CVSS-ernst is 7.2, wat een hoog risico aangeeft. Het ontbreken van validatie maakt het mogelijk om tekens in te voegen die het verwachte gedrag van de cookie kunnen veranderen, waardoor de beveiliging van de applicatie in gevaar komt.
Een aanvaller kan deze kwetsbaarheid uitbuiten door speciaal ontworpen HTTP-verzoeken te verzenden die kwaadaardige tekens bevatten in de parameters domain, path of samesite bij het instellen van een cookie. Hij kan bijvoorbeeld HTML- of JavaScript-tags in het attribuut domain injecteren om code in de browser van de gebruiker uit te voeren. Een succesvolle uitbuiting vereist dat de applicatie de functie RequestHandler.set_cookie gebruikt zonder de invoer correct te valideren. De impact van de uitbuiting kan variëren, afhankelijk van de configuratie van de applicatie en de rechten van de getroffen gebruiker. Het ontbreken van de juiste validatie opent de deur naar Cross-Site Scripting (XSS)-aanvallen en andere aanvallen met betrekking tot cookie-manipulatie.
Applications built using Tornado, particularly those handling sensitive user data or financial transactions, are at risk. Web applications relying heavily on cookies for authentication and session management are especially vulnerable. Development teams using older versions of Tornado (≤6.5b1) should prioritize upgrading to the patched version.
• python / server:
import re
# Check for suspicious characters in cookie attributes
log_pattern = re.compile(r'Cookie: .*?(?:domain=[^\s;]+|path=[^\s;]+|samesite=[^\s;]+).*?[\x00-\x1F]')
# Analyze server logs for matches• generic web:
curl -I 'http://your-tornado-app.com/' | grep 'Cookie:'• generic web:
# Check for unusual characters in cookie attributes in access logs
grep -i 'domain=[^;]*[\x00-\x1F][^;]*' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De oplossing om CVE-2026-35536 te mitigeren is om Tornado bij te werken naar versie 6.5.5 of hoger. Deze versie bevat beveiligingsfixes die de argumenten domain, path en samesite in RequestHandler.setcookie valideren, waardoor cookie-attribuutinjectie wordt voorkomen. Controleer bovendien de code van uw applicatie om onveilig gebruik van de functie setcookie te identificeren en te corrigeren die kwetsbaar kan zijn. Het implementeren van een robuust cookie-beveiligingsbeleid, inclusief invoervalidatie en het gebruik van attributen zoals HttpOnly en Secure, kan helpen het risico op uitbuiting te verminderen. Het monitoren van applicatielogboeken op verdachte activiteiten met betrekking tot cookie-manipulatie is ook cruciaal.
Actualice a la versión 6.5.5 o superior de Tornado. Esta versión corrige la vulnerabilidad de inyección de atributos de cookies al validar correctamente los argumentos domain, path y samesite en .RequestHandler.set_cookie.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een kwetsbaarheid die een aanvaller in staat stelt kwaadaardige code in de attributen van een cookie te injecteren, waardoor de beveiliging van de applicatie in gevaar komt.
Het kan leiden tot diefstal van gevoelige informatie, identiteitsdiefstal of de uitvoering van kwaadaardige code in de browser van de gebruiker.
Implementeer mitigerende maatregelen, zoals invoervalidatie en het gebruik van cookie-beveiligingsattributen zoals HttpOnly en Secure.
Er zijn webapplicatie-beveiligingsscanners die kunnen helpen bij het detecteren van deze kwetsbaarheid.
U kunt meer informatie vinden in de CVE-kwetsbaarheidsdatabase: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-35536
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.