CVE-2025-50864

Faille de validation d’origine dans elysia-cors : Risques et Solutions

Une faille critique, identifiée sous le numéro CVE-2025-50864, a été découverte dans la bibliothèque elysia-cors, affectant toutes les versions jusqu’à la 1.3.0. Cette vulnérabilité permet aux attaquants de contourner les restrictions de partage de ressources inter-origines (CORS).

Points Clés et Vulnérabilités :

• Type de vulnérabilité : Erreur de validation d’origine (Origin Validation Error).
• Fonctionnement : La bibliothèque vérifie incorrectement si une origine fournie est une sous-chaîne de n’importe quel domaine autorisé dans la politique CORS du site, au lieu de procéder à une correspondance exacte.
• Impact : Des origines malveillantes, telles que “notexample.com” ou “example.common.net”, peuvent être autorisées alors que la politique CORS spécifie “example.com”. Cela peut conduire à un accès non autorisé aux données des utilisateurs sur les sites qui s’appuient sur elysia-cors pour la validation CORS.
• CVE : CVE-2025-50864
• Statut NVD : En attente d’analyse.
• Score CVSS 3.1 : 6.5 (Moyen). Le vecteur indique une accessibilité réseau (AV:N), une faible complexité d’exploitation (AC:L), aucune privilège requis (PR:N), une interaction utilisateur nécessaire (UI:R), un périmètre non changé (S:U), une confidentialité nulle (C:N), une intégrité élevée (I:H) et aucune disponibilité affectée (A:N).

Recommandations :

• Mise à jour : Il est impératif de mettre à jour la bibliothèque elysia-cors vers la version 1.3.1 ou une version ultérieure pour corriger cette vulnérabilité.

Source