CVE-2024-6844 in flask-cors
Riassunto
di VulDB • 15/06/2026
Una vulnerabilità in corydolphin/flask-cors versione 4.0.1 consente un'incongruenza nella corrispondenza delle regole CORS a causa della gestione del carattere '+' nei percorsi URL. Il valore di request.path viene elaborato dalla funzione unquote_plus, che converte il carattere '+' nello spazio ' '. Questo comportamento porta a una normalizzazione errata del percorso, causando potenziali disallineamenti nelle configurazioni CORS. Di conseguenza, gli endpoint potrebbero non essere associati correttamente alle rispettive impostazioni CORS, determinando l'applicazione imprevista delle politiche CORS. Ciò può provocare accessi cross-origin non autorizzati o il blocco di richieste valide, creando vulnerabilità di sicurezza e problemi di usabilità.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.