CVEbaza.plSłownik CWECWE-942
Common Weakness Enumeration

CWE-942

Permissive Cross-domain Security Policy with Untrusted Domains

Kategoria: VariantCVE: 104
Opis

Produkt wykorzystuje mechanizm ochrony klienta webowego, taki jak Content Security Policy (CSP) lub plik polityki między domenami, ale polityka obejmuje niezaufane domeny, z którymi klient webowy może się komunikować. Stanowi to zagrożenie bezpieczeństwa, gdyż pozwala na interakcję z potencjalnie złośliwymi źródłami.

Description (EN)

The product uses a web-client protection mechanism such as a Content Security Policy (CSP) or cross-domain policy file, but the policy includes untrusted domains with which the web client is allowed to communicate.

Podatności CVE z CWE-942 (104)
9.8
CVSS
CRITICAL
CVE-2022-26969

In Directus before 9.7.0, the default settings of CORS_ORIGIN and CORS_ENABLED are true.

pub. 2022-12-26
9.8
CVSS
CRITICAL
CVE-2022-31736

A malicious website could have learned the size of a cross-origin resource that supported Range requests. This vulnerability affects Thunderbird < 91.10, Firefox < 101, and Firefox ESR < 91.10.

pub. 2022-12-22
9.6
CVSS
CRITICAL
CVE-2026-34449

B3Log SiYuan przed wersją 3.6.2 posiada krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) na komputerze ofiary. Złośliwa strona internetowa może wykorzystać permisywną politykę CORS aplikacji do wstrzyknięcia kodu JavaScript wykonywanego z pełnym dostępem do systemu operacyjnego.

pub. 2026-03-31
9.6
CVSS
CRITICAL
CVE-2026-28792

TinaCMS CLI w wersjach przed 2.1.8 zawiera krytyczną podatność łączącą zbyt permisywną konfigurację CORS (Access-Control-Allow-Origin: *) z luką path traversal. Wystarczy, że deweloper odwiedzi złośliwą stronę internetową podczas działania serwera deweloperskiego TinaCMS, aby atakujący zdalnie uzyskał dostęp do jego systemu plików.

pub. 2026-03-12
9.5
CVSS
CRITICAL
CVE-2020-36851

Instancje cors-anywhere skonfigurowane jako otwarty proxy umożliwiają nieuwierzytelnionym użytkownikom zewnętrznym wymuszenie na serwerze wykonania żądań HTTP do dowolnych celów (SSRF). Może to prowadzić do kradzieży poświadczeń chmurowych, nieuprawnionego dostępu do wewnętrznych usług, a nawet RCE lub privilege escalation.

pub. 2025-09-25
9.4
CVSS
CRITICAL
CVE-2026-9739

Podatność w Google MCP Toolbox umożliwia przeprowadzenie ataku DNS rebinding na połączenia SSE (Server-Sent Events). Błędnie pozostawiony nagłówek `Access-Control-Allow-Origin: *` w handlerze inicjalizacji SSE pozwala dowolnemu źródłu na dostęp do zasobów, omijając zabezpieczenia CORS.

pub. 2026-05-27
9.4
CVSS
CRITICAL
CVE-2024-25124

Framework Gofiber Fiber w wersjach przed 2.52.1 zawiera podatność w middleware CORS, która umożliwia jednoczesne ustawienie nagłówka Access-Control-Allow-Origin na wartość wildcard (*) oraz Access-Control-Allow-Credentials na true. Taka konfiguracja jest sprzeczna z zalecanymi praktykami bezpieczeństwa i może prowadzić do nieautoryzowanego dostępu do wrażliwych danych użytkowników.

pub. 2024-02-21
9.2
CVSS
CRITICAL
CVE-2026-44895

GitLab MCP Server przed wersją 0.6.0 udostępnia endpoint RPC bez żadnego mechanizmu uwierzytelnienia, z wildcard CORS i nasłuchem na wszystkich interfejsach sieciowych. Atakujący zdalny, bez żadnych poświadczeń, może wykonywać dowolne operacje w GitLab z uprawnieniami tokena operatora.

pub. 2026-05-26
9.1
CVSS
CRITICAL
CVE-2026-8948

Podatność w Mozilla Firefox i Thunderbird umożliwia obejście mechanizmu same-origin policy (SOP) w komponencie DOM/Networking. Jest to podatność klasy CWE-942 (nadmiernie permisywna polityka CORS/origin), która może prowadzić do nieautoryzowanego dostępu do danych i ich modyfikacji między różnymi źródłami.

pub. 2026-05-19
9.0
CVSS
CRITICAL
CVE-2026-30924

Aplikacja Qui (interfejs webowy do zarządzania instancjami qBittorrent) w wersjach 1.14.1 i wcześniejszych stosuje błędnie skonfigurowaną politykę CORS, która odzwierciedla dowolne zewnętrzne źródła i jednocześnie zwraca nagłówek Access-Control-Allow-Credentials: true. Umożliwia to dowolnej złośliwej stronie internetowej wykonywanie uwierzytelnionych żądań w imieniu zalogowanego użytkownika, co może prowadzić do pełnego przejęcia kontroli nad systemem.

pub. 2026-03-19
9.0
CVSS
CRITICAL
CVE-2026-1181

Platforma Altium 365 była skonfigurowana z nadmiernie liberalną polityką Cross-Origin Resource Sharing (CORS), która zezwalała na uwierzytelnione żądania cross-origin z subdomen kontrolowanych przez Altium, w tym z forum.live.altium.com. W połączeniu z podatnościami w tych zewnętrznych aplikacjach misconfiguracja ta umożliwia nieautoryzowany dostęp do danych workspace oraz ominięcie kontroli dostępu.

pub. 2026-01-19
8.8
CVSS
HIGH
CVE-2026-22812

OpenCode is an open source AI coding agent. Prior to 1.0.216, OpenCode automatically starts an unauthenticated HTTP server that allows any local process (or any website via permissive CORS) to execute arbitrary shell commands with the user's privileges. This vulnerability is fixed in 1.0.216.

pub. 2026-01-12
8.8
CVSS
HIGH
CVE-2023-38125

Softing edgeAggregator Permissive Cross-domain Policy with Untrusted Domains Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Softing edgeAggregator. Authentication is required to exploit this vulnerability. The specific flaw exists within the configuration of the web server. The issue results from the lack of appropriate Content Security Policy headers. An attacker can leverage this in conjunction with other vulnerabilities to execute code in the context of root. Was ZDI-CAN-20542.

pub. 2024-05-03
8.8
CVSS
HIGH
CVE-2021-34435

In Eclipse Theia 0.3.9 to 1.8.1, the "mini-browser" extension allows a user to preview HTML files in an iframe inside the IDE. But with the way it is made it is possible for a previewed HTML file to trigger an RCE. This exploit only happens if a user previews a malicious file..

pub. 2021-09-01
8.7
CVSS
HIGH
CVE-2025-30354

Bruno is an open source IDE for exploring and testing APIs. A bug in the assertion runtime caused assert expressions to run in Developer Mode, even if Safe Mode was selected. The bug resulted in the sandbox settings to be ignored for the particular case where a single request is run/sent. This vulnerability's attack surface is limited strictly to scenarios where users import collections from untrusted or malicious sources. The exploit requires deliberate action from the user—specifically, downloading and opening an externally provided malicious Bruno collection. The vulnerability is fixed in 1.39.1.

pub. 2025-04-01
8.7
CVSS
HIGH
CVE-2024-49763

PlexRipper is a cross-platform media downloader for Plex. PlexRipper’s open CORS policy allows attackers to gain sensitive information from PlexRipper by getting the user to access the attacker’s domain. This allows an attacking website to access the /api/PlexAccount endpoint and steal the user’s Plex login. This vulnerability is fixed in 0.24.0.

pub. 2024-12-02
8.6
CVSS
HIGH
CVE-2026-56076

PraisonAI before 1.5.128 contains a cross-origin agent execution vulnerability in the AGUI endpoint that allows remote attackers to trigger arbitrary agent execution. The POST /agui endpoint lacks authentication and hardcodes Access-Control-Allow-Origin: * headers, combined with Starlette's Content-Type-agnostic JSON parsing, enabling attackers to bypass CORS preflight checks via simple requests and exfiltrate sensitive agent responses including tool execution results and environment data.

pub. 2026-06-18
8.2
CVSS
HIGH
CVE-2026-50087

The Aqara IAM/SSO gateway (gw-builder.aqara.com) exhibits a cross-origin request sharing vulnerability, which is an instance of "CWE-942: Permissive Cross-domain Policy with Untrusted Domains," and has an estimated CVSS of CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N (8.2 High).

pub. 2026-06-12
8.2
CVSS
HIGH
CVE-2026-50088

The Aqara Developer Portal (developer.aqara.com) and shared test environments (developer-test.aqara.com, aiot-test.aqara.com) exhibit cross-origin request sharing, which is an instance of "CWE-942: Permissive Cross-domain Policy with Untrusted Domains," and has an estimated CVSS of CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N (8.2 High).

pub. 2026-06-12
8.1
CVSS
HIGH
CVE-2026-41056

WWBN AVideo is an open source video platform. In versions 29.0 and below, the `allowOrigin($allowAll=true)` function in `objects/functions.php` reflects any arbitrary `Origin` header back in `Access-Control-Allow-Origin` along with `Access-Control-Allow-Credentials: true`. This function is called by both `plugin/API/get.json.php` and `plugin/API/set.json.php` — the primary API endpoints that handle user data retrieval, authentication, livestream credentials, and state-changing operations. Combined with the application's `SameSite=None` session cookie policy, any website can make credentialed cross-origin requests and read authenticated API responses, enabling theft of user PII, livestream keys, and performing state changes on behalf of the victim. Commit caf705f38eae0ccfac4c3af1587781355d24495e contains a fix.

pub. 2026-04-21
Pokazano 20 z 104 podatności
Informacje
ID: CWE-942
Typ: Variant
Podatności: 104
MITRE CWE ↗
← Słownik CWE
CWE-942 — Permisywna polityka bezpieczeństwa między domenami z niezaufanymi domenami | Słownik CWE | CVEbaza.pl