CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-37737

MediumCVSS 6.5
Published: Updated: Translated: NVD NIST

Summary

Wersje sanic-cors do 2.2.0 zawierają nieprawidłowy wyrażenie regularne w funkcji try_match(), co umożliwia atakującym ominięcie listy dozwolonych originów CORS. Atakujący może zarejestrować domenę zaczynającą się od zaufanego ciągu origin, co prowadzi do nieautoryzowanego dostępu do zasobów wymagających uwierzytelnienia.

Risk Assessment

Organizacja narażona jest na nieautoryzowany dostęp do wrażliwych zasobów, co może prowadzić do wycieku danych lub innych poważnych incydentów bezpieczeństwa.

Recommendation

Zaleca się aktualizację sanic-cors do wersji 2.2.1 lub nowszej, aby usunąć tę podatność oraz przegląd polityki CORS w celu wzmocnienia zabezpieczeń.

Original NVD description (English source)

sanic-cors version 2.2.0 and prior contains an improper regular expression in the try_match() function in sanic_cors/core.py that uses re.match without end-anchoring. This allows an attacker to bypass CORS origin allowlists by registering a domain that begins with a trusted origin string, to gain unauthorized access to cross-origin requests for authenticated resources.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS