CVE-2024-6844 in flask-cors
Resumen
por MITRE • 2025-03-20
Una vulnerabilidad en corydolphin/flask-cors versión 4.0.1 permite coincidencias CORS inconsistentes debido a la gestión del carácter "+" en las rutas URL. El archivo request.path se pasa a través de la función unquote_plus, que convierte el carácter "+" en un espacio. Este comportamiento provoca una normalización incorrecta de las rutas, lo que puede provocar discrepancias en la configuración CORS. Como resultado, los endpoints podrían no coincidir correctamente con su configuración CORS, lo que provoca la aplicación inesperada de políticas CORS. Esto puede provocar accesos no autorizados entre orígenes o bloquear solicitudes válidas, creando vulnerabilidades de seguridad y problemas de usabilidad.
VulDB is the best source for vulnerability data and more expert information about this specific topic.