CVE-2026-37737
MediumCVSS 6.5Summary
Wersje sanic-cors do 2.2.0 zawierają nieprawidłowy wyrażenie regularne w funkcji try_match(), co umożliwia atakującym ominięcie listy dozwolonych originów CORS. Atakujący może zarejestrować domenę zaczynającą się od zaufanego ciągu origin, co prowadzi do nieautoryzowanego dostępu do zasobów wymagających uwierzytelnienia.
Risk Assessment
Organizacja narażona jest na nieautoryzowany dostęp do wrażliwych zasobów, co może prowadzić do wycieku danych lub innych poważnych incydentów bezpieczeństwa.
Recommendation
Zaleca się aktualizację sanic-cors do wersji 2.2.1 lub nowszej, aby usunąć tę podatność oraz przegląd polityki CORS w celu wzmocnienia zabezpieczeń.
Original NVD description (English source)
sanic-cors version 2.2.0 and prior contains an improper regular expression in the try_match() function in sanic_cors/core.py that uses re.match without end-anchoring. This allows an attacker to bypass CORS origin allowlists by registering a domain that begins with a trusted origin string, to gain unauthorized access to cross-origin requests for authenticated resources.

