一、 漏洞 CVE-2021-39185 基础信息
漏洞标题
默认的 CORS 配置允许任何 origin 具有身份验证信息
来源:AIGC 神龙大模型
漏洞描述信息
默认的CORS配置允许任何具有凭据的源。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
Default CORS config allows any origin with credentials
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Http4s is a minimal, idiomatic Scala interface for HTTP services. In http4s versions 0.21.26 and prior, 0.22.0 through 0.22.2, 0.23.0, 0.23.1, and 1.0.0-M1 through 1.0.0-M24, the default CORS configuration is vulnerable to an origin reflection attack. The middleware is also susceptible to a Null Origin Attack. The problem is fixed in 0.21.27, 0.22.3, 0.23.2, and 1.0.0-M25. The original `CORS` implementation and `CORSConfig` are deprecated. See the GitHub GHSA for more information, including code examples and workarounds.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
源验证错误
来源:美国国家漏洞数据库 NVD
漏洞标题
Http4s访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
http4s是一款开源的用于Scala的流HTTP服务器。 Http4s 存在访问控制错误漏洞,该漏洞源于默认 CORS 配置容易受到源反射攻击。以下产品和版本受到影响:0.21.26 及更早版本、0.22.0 到 0.22.2、0.23.0、0.23.1 和 1.0.0-M1 到 1.0.0-M24。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-39185 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2021-39185 的情报信息