guzzlehttp/guzzle: CookieJar aceita domínio com apenas ponto, permitindo correspondência com qualquer host

CookieJar aceita cookies com atributo Domain contendo apenas um ponto, permitindo que eles correspondam a qualquer host da requisição. Corrigido na versão 7.12.1 ao rejeitar domínios com apenas ponto e impedir que um domínio normalizado vazio corresponda.

Aplicações que usam suporte a cookies do Guzzle (ex.: new Client(['cookies' => true]) ou CookieJar compartilhado) que reutilizam o mesmo jar entre origens controladas pelo atacante e confiáveis.

Atualize para guzzlehttp/guzzle versão 7.12.1 ou superior. Se não puder atualizar, use instâncias separadas de CookieJar por origem ou desabilite o tratamento de cookies para hosts não confiáveis.