一、 漏洞 CVE-2017-11173 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在0.4.1之前,rack-cors生成的正则表达式中缺少标点符号,这允许恶意第三方网站执行CORS请求。如果配置旨在仅允许信任的example.com域名而不是恶意的example.net域名,那么example.com.example.net(以及example.com-example.net)可能会被意外允许。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Missing anchor in generated regex for rack-cors before 0.4.1 allows a malicious third-party site to perform CORS requests. If the configuration were intended to allow only the trusted example.com domain name and not the malicious example.net domain name, then example.com.example.net (as well as example.com-example.net) would be inadvertently allowed.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
rack-cors 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
rack-cors是一款用于跨源的资源共享的中间件。regex是一个创建在其中的正则表达式。 rack-cors 0.4.1之前的版本中的创建的regex存在安全漏洞。攻击者可利用该漏洞执行跨源资源共享请求。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2017-11173 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2017-11173 的情报信息