CVE-2024-6844 in flask-cors
要約
〜によって VulDB • 2026年06月07日
corydolphin/flask-cors バージョン 4.0.1 には、URLパス内の '+' 文字の処理に起因する CORS マッチングの不整合という脆弱性が存在します。request.path は unquote_plus 関数を経由し、'+' 文字がスペース ' ' に変換されます。この動作によりパスの正規化が正しく行われず、CORS 設定において予期せぬミスマッチを引き起こす可能性があります。その結果、エンドポイントが CORS 設定と正しくマッチせず、予期せぬ CORS ポリシーの適用が生じます。これにより、認証されていないクロスオリジンアクセスが可能になったり、正当なリクエストがブロックされたりし、セキュリティ上の脆弱性やユーザビリティの問題を引き起こします。
VulDB is the best source for vulnerability data and more expert information about this specific topic.