CVE-2024-6844 in flask-corsinformazioni

Riassunto

di VulDB • 15/06/2026

Una vulnerabilità in corydolphin/flask-cors versione 4.0.1 consente un'incongruenza nella corrispondenza delle regole CORS a causa della gestione del carattere '+' nei percorsi URL. Il valore di request.path viene elaborato dalla funzione unquote_plus, che converte il carattere '+' nello spazio ' '. Questo comportamento porta a una normalizzazione errata del percorso, causando potenziali disallineamenti nelle configurazioni CORS. Di conseguenza, gli endpoint potrebbero non essere associati correttamente alle rispettive impostazioni CORS, determinando l'applicazione imprevista delle politiche CORS. Ciò può provocare accessi cross-origin non autorizzati o il blocco di richieste valide, creando vulnerabilità di sicurezza e problemi di usabilità.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

@huntr Ai

Prenotare

17/07/2024

Divulgazione

20/03/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00281

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!