Все бюллетени/sisyphus_loongarch64/ALT-PU-2025-7221-1
ALT-PU-2025-7221-1

Обновление пакета python3-module-flask-cors в ветке sisyphus_loongarch64

Версия6.0.0-alt1
Задание#0
Опубликовано2025-05-22
Макс. серьёзностьHIGH
Серьёзность:

Закрытые проблемы (6)

BDU:2024-07529
MEDIUM5.3

Уязвимость библиотеки Flask CORS хранилища программных продуктов языка Python PyPi, позволяющая нарушителю обойти существующие ограничения безопасности

Опубликовано: 2024-09-27Изменено: 2026-03-10
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N
Ссылки
BDU:2024-07530
MEDIUM4.3

Уязвимость реализации механизма CORS хранилища программных продуктов языка Python PyPi, позволяющая нарушителю раскрыть защищаемую информацию

Опубликовано: 2024-09-27Изменено: 2026-03-10
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
CVSS 2.0СРЕДНЯЯ 5.0
CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N
Ссылки
BDU:2024-07532
MEDIUM5.3

Уязвимость функции try_match хранилища программных продуктов языка Python PyPi, позволяющая нарушителю оказать влияние на конфиденциальность защищаемой информации

Опубликовано: 2024-09-27Изменено: 2026-03-10
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N
CVSS 2.0СРЕДНЯЯ 5.4
CVSS:2.0/AV:N/AC:H/Au:N/C:C/I:N/A:N
Ссылки
CVE-2024-6839
MEDIUM5.3

corydolphin/flask-cors version 4.0.1 contains an improper regex path matching vulnerability. The plugin prioritizes longer regex patterns over more specific ones when matching paths, which can lead to less restrictive CORS policies being applied to sensitive endpoints. This mismatch in regex pattern priority allows unauthorized cross-origin access to sensitive data or functionality, potentially exposing confidential information and increasing the risk of unauthorized actions by malicious actors.

Опубликовано: 2025-03-20Изменено: 2025-11-03
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Ссылки
CVE-2024-6844
MEDIUM5.3

A vulnerability in corydolphin/flask-cors version 4.0.1 allows for inconsistent CORS matching due to the handling of the '+' character in URL paths. The request.path is passed through the unquote_plus function, which converts the '+' character to a space ' '. This behavior leads to incorrect path normalization, causing potential mismatches in CORS configuration. As a result, endpoints may not be matched correctly to their CORS settings, leading to unexpected CORS policy application. This can cause unauthorized cross-origin access or block valid requests, creating security vulnerabilities and usability issues.

Опубликовано: 2025-03-20Изменено: 2025-11-03
CVSS 3.xСРЕДНЯЯ 5.3
CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Ссылки
CVE-2024-6866
HIGH7.5

corydolphin/flask-cors version 4.01 contains a vulnerability where the request path matching is case-insensitive due to the use of the `try_match` function, which is originally intended for matching hosts. This results in a mismatch because paths in URLs are case-sensitive, but the regex matching treats them as case-insensitive. This misconfiguration can lead to significant security vulnerabilities, allowing unauthorized origins to access paths meant to be restricted, resulting in data exposure and potential data leaks.

Опубликовано: 2025-03-20Изменено: 2025-11-03
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Ссылки