GHSA-hxwh-jpp2-84pm

Опубликовано: 18 авг. 2024

Источник: github

Github: Прошло ревью

CVSS4: 8.7

CVSS3: 7.5

Описание

Flask-CORS allows the Access-Control-Allow-Private-Network CORS header to be set to true by default

A vulnerability in corydolphin/flask-cors version 4.0.1 allows the Access-Control-Allow-Private-Network CORS header to be set to true by default, without any configuration option. This behavior can expose private network resources to unauthorized external access, leading to significant security risks such as data breaches, unauthorized access to sensitive information, and potential network intrusions.

Ссылки

Пакеты

Наименование

Flask-Cors

pip

Затронутые версииВерсия исправления

< 4.0.2

4.0.2

EPSS

Процентиль: 70%

0.00637

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2024-6221

Дефекты

CWE-284

Связанные уязвимости

CVE-2024-6221

CVSS3: 7.5

ubuntu

больше 1 года назад

A vulnerability in corydolphin/flask-cors version 4.0.1 allows the `Access-Control-Allow-Private-Network` CORS header to be set to true by default. This behavior can expose private network resources to unauthorized external access, leading to significant security risks such as data breaches, unauthorized access to sensitive information, and potential network intrusions.

CVE-2024-6221

CVSS3: 7.5

nvd

больше 1 года назад

CVE-2024-6221

CVSS3: 7.5

debian

больше 1 года назад

A vulnerability in corydolphin/flask-cors version 4.0.1 allows the `Ac ...

BDU:2024-07531

CVSS3: 6.5

fstec

больше 1 года назад

Уязвимость реализации механизма CORS хранилища программных продуктов языка Python PyPi, позволяющая нарушителю раскрыть защищаемую информацию

ROS-20250912-09

CVSS3: 6.5

redos

4 месяца назад

Множественные уязвимости python3-flask-cors

EPSS

Процентиль: 70%

0.00637

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2024-6221

Дефекты

CWE-284