CVE-2024-6844 in flask-corsinformación

Resumen

por MITRE • 2025-03-20

Una vulnerabilidad en corydolphin/flask-cors versión 4.0.1 permite coincidencias CORS inconsistentes debido a la gestión del carácter "+" en las rutas URL. El archivo request.path se pasa a través de la función unquote_plus, que convierte el carácter "+" en un espacio. Este comportamiento provoca una normalización incorrecta de las rutas, lo que puede provocar discrepancias en la configuración CORS. Como resultado, los endpoints podrían no coincidir correctamente con su configuración CORS, lo que provoca la aplicación inesperada de políticas CORS. Esto puede provocar accesos no autorizados entre orígenes o bloquear solicitudes válidas, creando vulnerabilidades de seguridad y problemas de usabilidad.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

@huntr Ai

Reservar

2024-07-17

Divulgación

2025-03-20

Moderación

aceptado

Artículo

VDB-300371

CPE

listo

EPSS

0.00281

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!