| タイトル | AsyncHTTPClient projectのAsyncHTTPClientにおける情報漏えいに関する脆弱性 |
|---|---|
| 概要 | AsyncHttpClient (AHC) ライブラリは、JavaアプリケーションがHTTPリクエストを容易に実行し、HTTPレスポンスを非同期に処理できるようにします。2.x系の2.15.0未満および3.x系の3.0.10未満のバージョンでは、`Cookie` ヘッダーがクロスオリジンのリダイレクト先に漏洩してしまいます。異なるオリジンへのリダイレクトを追従する際、`Redirect30xInterceptor.java` の `propagatedHeaders()` メソッドは `Authorization` と `Proxy-Authorization` ヘッダーを除去しますが、`Cookie` ヘッダーは除去しません。そのため、セッションクッキーやその他の機密性の高いクッキー値が攻撃者に制御されたサーバーに送信されてしまいます。この問題はバージョン2.15.0および3.0.10で修正されました。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月5日0:00 |
| 登録日 | 2026年6月9日14:14 |
| 最終更新日 | 2026年6月9日14:14 |
| CVSS3.0 : 重要 | |
| スコア | 7.4 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N |
| AsyncHTTPClient project |
| AsyncHTTPClient 2.0.0 以上 2.15.0 未満 |
| AsyncHTTPClient 3.0.0 以上 3.0.10 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月09日] 掲載 |
2026年6月9日14:14 |
| 概要 | The AsyncHttpClient (AHC) library allows Java applications to easily execute HTTP requests and asynchronously process HTTP responses. Versions on the 2.x branch prior to 2.15.0 and the 3.x branch prior to 3.0.10 leak `Cookie` headers to cross-origin redirect targets. When following a redirect to a different origin, the `propagatedHeaders()` method in `Redirect30xInterceptor.java` strips `Authorization` and `Proxy-Authorization` headers but does not strip the `Cookie` header, causing session cookies and other sensitive cookie values to be sent to attacker-controlled servers. Versions 2.15.0 and 3.0.10 patch the issue. |
|---|---|
| 公表日 | 2026年6月6日5:17 |
| 登録日 | 2026年6月7日4:12 |
| 最終更新日 | 2026年6月9日3:37 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:asynchttpclient_project:async-http-client:*:*:*:*:*:*:*:* | 2.0.0 | 2.15.0 | |||
| cpe:2.3:a:asynchttpclient_project:async-http-client:*:*:*:*:*:*:*:* | 3.0.0 | 3.0.10 | |||