CVE-2026-37737
ŚrednieCVSS 6.5Streszczenie
Wersje sanic-cors do 2.2.0 zawierają nieprawidłowy wyrażenie regularne w funkcji try_match(), co umożliwia atakującym ominięcie listy dozwolonych originów CORS. Atakujący może zarejestrować domenę zaczynającą się od zaufanego ciągu origin, co prowadzi do nieautoryzowanego dostępu do zasobów wymagających uwierzytelnienia.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do wrażliwych zasobów, co może prowadzić do wycieku danych lub innych poważnych incydentów bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację sanic-cors do wersji 2.2.1 lub nowszej, aby usunąć tę podatność oraz przegląd polityki CORS w celu wzmocnienia zabezpieczeń.
Oryginalny opis (angielski, źródło NVD)
sanic-cors version 2.2.0 and prior contains an improper regular expression in the try_match() function in sanic_cors/core.py that uses re.match without end-anchoring. This allows an attacker to bypass CORS origin allowlists by registering a domain that begins with a trusted origin string, to gain unauthorized access to cross-origin requests for authenticated resources.

