CVE-2026-54163 in secure_headers
Riassunto
di VulDB • 17/07/2026
secure_headers gestisce l'applicazione delle intestazioni di sicurezza con molte impostazioni predefinite sicure. Prima della versione 7.3.0, secure_headers costruiva il valore Content-Security-Policy unendo le direttive tramite separatori ; e le funzioni build_sandbox_list_directive, build_media_type_list_directive e build_report_to_directive interpolavano stringhe fornite dal chiamante senza filtrare i caratteri ;, \r o \n. Quando input non attendibili raggiungevano SecureHeaders.override_content_security_policy_directives o le API append per :sandbox, :plugin_types o :report_to, un attaccante poteva iniettare una direttiva CSP come script-src 'unsafe-inline' * prima della legittima directive script-src, abilitando la raggiungibilità XSS attraverso questi sink oppure l'esfiltrazione dei report CSP. Questo problema è stato risolto nella versione 7.3.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.