CVE-2024-6844 in flask-cors
요약
\~에 의해 VulDB • 2026. 06. 14.
corydolphin/flask-cors 버전 4.0.1의 취약점으로 인해 URL 경로에서 '+' 문자 처리로 인해 일관되지 않은 CORS 매칭이 발생합니다. request.path는 unquote_plus 함수를 통해 전달되며, 이 함수는 '+' 문자를 공백(' ')으로 변환합니다. 이러한 동작은 잘못된 경로 정규화를 초래하여 CORS 구성 간 잠재적 불일치를 야기합니다. 결과적으로 엔드포인트가 해당 CORS 설정과 올바르게 매치되지 않아 예기치 않은 CORS 정책 적용이 발생할 수 있습니다. 이로 인해 무단 교차 출처 접근이나 유효한 요청 차단이 발생하며, 보안 취약점 및 사용성 문제가 초래됩니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.