Katalog CVE

CVE-2026-37737

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje sanic-cors do 2.2.0 zawierają nieprawidłowy wyrażenie regularne w funkcji try_match(), co umożliwia atakującym ominięcie listy dozwolonych originów CORS. Atakujący może zarejestrować domenę zaczynającą się od zaufanego ciągu origin, co prowadzi do nieautoryzowanego dostępu do zasobów wymagających uwierzytelnienia.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowany dostęp do wrażliwych zasobów, co może prowadzić do wycieku danych lub innych poważnych incydentów bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację sanic-cors do wersji 2.2.1 lub nowszej, aby usunąć tę podatność oraz przegląd polityki CORS w celu wzmocnienia zabezpieczeń.

Oryginalny opis (angielski, źródło NVD)

sanic-cors version 2.2.0 and prior contains an improper regular expression in the try_match() function in sanic_cors/core.py that uses re.match without end-anchoring. This allows an attacker to bypass CORS origin allowlists by registering a domain that begins with a trusted origin string, to gain unauthorized access to cross-origin requests for authenticated resources.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS