CVE-2025-50864

Une faille dans la bibliothèque elysia-cors permet de contourner les restrictions de partage de ressources entre origines (CORS).

Points clés

• Nature de la vulnérabilité : Erreur de validation de l’origine.
• Fonctionnement : La bibliothèque vérifie si l’origine fournie est une sous-chaîne de domaines autorisés, au lieu d’une correspondance exacte.
• Conséquences : Des origines malveillantes (par exemple, “notexample.com” ou “example.common.net”) peuvent être autorisées alors que la politique CORS spécifie “example.com”.
• Risque : Accès non autorisé aux données des utilisateurs sur les sites utilisant la bibliothèque pour la validation CORS.

Vulnérabilités

• CVE : CVE-2025-50864
• Type de faiblesse : L’validation incorrecte de l’origine, permettant le contournement des restrictions CORS.

Recommandations

• Mettre à jour la bibliothèque elysia-cors à la version 1.3.1 ou une version ultérieure.

Source