Les mainteneurs de Guzzle, le client HTTP populaire pour les applications PHP, ont corrigé une vulnérabilité de haute gravité menant à une fuite de cookies inter-domaines.

Répertorié sous le nom de CVE-2022-29248, le bogue est lié à l'incapacité de vérifier si le domaine du cookie est égal au domaine du serveur qui définit le cookie via l'en-tête Set-Cookie. Cela permettrait à "un serveur malveillant de définir des cookies pour des domaines sans rapport", poursuit l'avis.

"Par exemple, un attaquant à l'adresse www[.]example[.]com pourrait définir un cookie de session pour api.example.net, connectant le client Guzzle à son compte et récupérant les requêtes API privées du journal de sécurité de son compte."

Guzzle est utilisé pour envoyer des requêtes HTTP à partir de programmes PHP pour divers cas d'utilisation.

La bibliothèque compatible PSR-7, qui approche les 22 000 étoiles sur GitHub, est également utilisée par la plateforme de commerce électronique d'Adobe, Magento, entre autres applications, ainsi que par Laravel, le populaire framework d'applications web PHP.

Cependant, seuls les utilisateurs qui "ajoutent manuellement le middleware de cookies à la pile de gestionnaires ou construisent le client avec ['cookies' => true] sont affectés", explique l'avis. Ils doivent également utiliser le même client Guzzle pour appeler plusieurs domaines et avoir activé la redirection pour être vulnérables.

Les mainteneurs de Guzzle ont corrigé la faille dans les versions 6.5.6, 7.4.3 et 7.5.0, et ont conseillé aux utilisateurs de s'assurer que le middleware de cookies est désactivé, sauf si le support des cookies est nécessaire