| タイトル | rack-cors における CORS リクエストを実行される脆弱性 |
|---|---|
| 概要 | rack-cors は、生成された正規表現にアンカーがないため、CORS リクエストを実行される脆弱性が存在します。 |
| 想定される影響 | 悪意のある第三者のサイトにより、CORS リクエストを実行される可能性があります。 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2017年7月12日0:00 |
| 登録日 | 2017年8月9日15:36 |
| 最終更新日 | 2017年8月9日15:36 |
| CVSS3.0 : 重要 | |
| スコア | 8.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| CVSS2.0 : 警告 | |
| スコア | 6.8 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| Rack-CORS project |
| Rack-CORS 0.4.1 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2017年08月09日] 掲載 |
2018年2月17日10:37 |
| 概要 | Missing anchor in generated regex for rack-cors before 0.4.1 allows a malicious third-party site to perform CORS requests. If the configuration were intended to allow only the trusted example.com domain name and not the malicious example.net domain name, then example.com.example.net (as well as example.com-example.net) would be inadvertently allowed. |
|---|---|
| 公表日 | 2017年7月13日12:29 |
| 登録日 | 2021年1月26日13:12 |
| 最終更新日 | 2024年11月21日12:07 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:rack-cors_project:rack-cors:*:*:*:*:*:ruby:*:* | 0.4.1 | ||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | |||||