Plataforma
python
Componente
tornado
Corrigido em
6.5.5
6.5.5
A vulnerabilidade CVE-2026-35536 no Tornado permite a injeção de atributos de cookie devido à falta de validação de caracteres maliciosos nos argumentos domain, path e samesite passados para o método RequestHandler.set_cookie. Essa falha pode levar a ataques de Cross-Site Scripting (XSS) e outras formas de manipulação de dados do usuário. A vulnerabilidade afeta versões do Tornado anteriores à 6.5.5. Uma correção foi lançada na versão 6.5.5.
CVE-2026-35536 afeta o Tornado em versões anteriores a 6.5.5, expondo aplicações web a uma vulnerabilidade de injeção de atributos de cookie. Esta falha ocorre porque a função RequestHandler.set_cookie não valida adequadamente os caracteres especiais nos argumentos domain, path e samesite. Um atacante pode manipular esses argumentos para injetar código malicioso em cookies, o que pode levar ao roubo de identidade, roubo de informações confidenciais ou execução de código arbitrário no navegador do usuário. A severidade CVSS é 7.2, indicando um risco alto. A falta de validação permite a inserção de caracteres que podem alterar o comportamento esperado do cookie, comprometendo a segurança da aplicação.
Um atacante pode explorar esta vulnerabilidade enviando solicitações HTTP especialmente projetadas que incluam caracteres maliciosos nos parâmetros domain, path ou samesite ao definir um cookie. Por exemplo, eles podem injetar tags HTML ou JavaScript no atributo domain para executar código no navegador do usuário. A exploração bem-sucedida requer que a aplicação utilize a função RequestHandler.set_cookie sem uma validação adequada da entrada. O impacto da exploração pode variar dependendo da configuração da aplicação e dos privilégios do usuário afetado. A falta de uma validação adequada abre a porta para ataques de Cross-Site Scripting (XSS) e outros ataques relacionados à manipulação de cookies.
Applications built using Tornado, particularly those handling sensitive user data or financial transactions, are at risk. Web applications relying heavily on cookies for authentication and session management are especially vulnerable. Development teams using older versions of Tornado (≤6.5b1) should prioritize upgrading to the patched version.
• python / server:
import re
# Check for suspicious characters in cookie attributes
log_pattern = re.compile(r'Cookie: .*?(?:domain=[^\s;]+|path=[^\s;]+|samesite=[^\s;]+).*?[\x00-\x1F]')
# Analyze server logs for matches• generic web:
curl -I 'http://your-tornado-app.com/' | grep 'Cookie:'• generic web:
# Check for unusual characters in cookie attributes in access logs
grep -i 'domain=[^;]*[\x00-\x1F][^;]*' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A solução para mitigar CVE-2026-35536 é atualizar o Tornado para a versão 6.5.5 ou superior. Esta versão inclui correções de segurança que validam os argumentos domain, path e samesite em RequestHandler.setcookie, prevenindo a injeção de atributos de cookie. Além disso, recomenda-se revisar o código da aplicação para identificar e corrigir qualquer uso inseguro da função setcookie que possa ser vulnerável. Implementar uma política de segurança de cookies robusta, incluindo a validação de entrada e o uso de atributos como HttpOnly e Secure, pode ajudar a reduzir o risco de exploração. Monitorar os logs da aplicação em busca de atividades suspeitas relacionadas à manipulação de cookies também é crucial.
Actualice a la versión 6.5.5 o superior de Tornado. Esta versión corrige la vulnerabilidad de inyección de atributos de cookies al validar correctamente los argumentos domain, path y samesite en .RequestHandler.set_cookie.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade que permite a um atacante injetar código malicioso nos atributos de um cookie, comprometendo a segurança da aplicação.
Pode levar ao roubo de informações confidenciais, roubo de identidade ou à execução de código malicioso no navegador do usuário.
Implemente medidas de mitigação, como a validação de entrada e o uso de atributos de segurança de cookies como HttpOnly e Secure.
Existem ferramentas de análise de segurança de aplicações web que podem ajudar a detectar esta vulnerabilidade.
Você pode encontrar mais informações no banco de dados de vulnerabilidades CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-35536
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.