CVE-2026-35536：Tornado Cookie属性注入漏洞（高危）

CVE-2026-35536 影响 Tornado 6.5.5 之前的版本，使 Web 应用程序容易受到 Cookie 属性注入漏洞的影响。此缺陷是由于 RequestHandler.set_cookie 函数未能正确验证 domain、path 和 samesite 参数中的特殊字符造成的。攻击者可能操纵这些参数将恶意代码注入到 Cookie 中，从而导致身份盗窃、敏感信息盗窃或用户浏览器中执行任意代码。CVSS 严重性评级为 7.2，表明风险较高。缺乏验证允许插入可以更改 Cookie 预期行为的字符，从而损害应用程序安全。

Applications built using Tornado, particularly those handling sensitive user data or financial transactions, are at risk. Web applications relying heavily on cookies for authentication and session management are especially vulnerable. Development teams using older versions of Tornado (≤6.5b1) should prioritize upgrading to the patched version.

• python / server:

import re
# Check for suspicious characters in cookie attributes
log_pattern = re.compile(r'Cookie: .*?(?:domain=[^\s;]+|path=[^\s;]+|samesite=[^\s;]+).*?[\x00-\x1F]')
# Analyze server logs for matches

• generic web:

curl -I 'http://your-tornado-app.com/' | grep 'Cookie:'

• generic web:

# Check for unusual characters in cookie attributes in access logs
grep -i 'domain=[^;]*[\x00-\x1F][^;]*' /var/log/apache2/access.log

1. 2026-04-03Disclosure

   disclosure

1. 已保留2026-04-03
2. 发布日期2026-04-03
3. 修改日期2026-04-15
4. EPSS 更新日期2026-04-10

减轻 CVE-2026-35536 的方法是将 Tornado 更新到 6.5.5 或更高版本。此版本包含安全修复程序，可验证 RequestHandler.setcookie 函数中的 domain、path 和 samesite 参数，从而防止 Cookie 属性注入。此外，请检查您的应用程序代码，以识别和更正任何可能存在漏洞的 setcookie 函数的不安全使用。实施强大的 Cookie 安全策略，包括输入验证以及使用 HttpOnly 和 Secure 等属性，可以帮助降低被利用的风险。监控应用程序日志中与 Cookie 操纵相关的可疑活动也很重要。