CVE-2024-10906
Python Schwachstellenanalyse und -minderung

Überblick

In version 0.6.0 of eosphoros-ai/db-gpt, a critical security vulnerability was identified involving the uvicorn app created by dbgpt_server. The vulnerability stems from an overly permissive instance of CORSMiddleware which sets the Access-Control-Allow-Origin to * for all requests. This vulnerability was assigned CVE-2024-10906 and was disclosed on March 20, 2025 (NVD).

Technische Details

The vulnerability is classified as a Cross-Site Request Forgery (CSRF) vulnerability with a CVSS v3.0 base score of 7.1 (HIGH). The technical root cause is the misconfiguration of CORS policy in the uvicorn app, where the Access-Control-Allow-Origin header is set to *, allowing requests from any origin. The vulnerability has been assigned CWE-352 (Cross-Site Request Forgery) classification (NVD, Huntr).

Aufprall

The vulnerability makes all endpoints exposed by the server vulnerable to Cross-Site Request Forgery (CSRF) attacks. An attacker can potentially interact with any endpoints of the instance, even if the instance is not publicly exposed to the network. This poses a significant risk as it could allow unauthorized actions to be performed on behalf of authenticated users (NVD).

Zusätzliche Ressourcen


QuelleDieser Bericht wurde mithilfe von KI erstellt

Verwandt Python Schwachstellen:

CVE-Kennung

Strenge

Punktzahl

Technologieen

Name der Komponente

CISA KEV-Exploit

Hat fix

Veröffentlichungsdatum

GHSA-r3hx-x5rh-p9vvHIGH8.7
  • Python logoPython
  • django-haystack
NeinJaJul 15, 2026
CVE-2026-54457HIGH7.7
  • Python logoPython
  • tensorzero
NeinJaJul 15, 2026
CVE-2026-50271HIGH7.5
  • Python logoPython
  • ddtrace
NeinJaJul 15, 2026
CVE-2026-54254MEDIUM6.9
  • Python logoPython
  • cyberdrop-dl-patched
NeinJaJul 15, 2026
CVE-2026-53656MEDIUM6.3
  • Python logoPython
  • fiftyone
NeinJaJul 15, 2026

Kostenlose Schwachstellenbewertung

Benchmarking Ihrer Cloud-Sicherheitslage

Bewerten Sie Ihre Cloud-Sicherheitspraktiken in 9 Sicherheitsbereichen, um Ihr Risikoniveau zu bewerten und Lücken in Ihren Abwehrmaßnahmen zu identifizieren.

Bewertung anfordern

Eine personalisierte Demo anfordern

Sind Sie bereit, Wiz in Aktion zu sehen?

"Die beste Benutzererfahrung, die ich je gesehen habe, bietet vollständige Transparenz für Cloud-Workloads."
David EstlickCISO
"„Wiz bietet eine zentrale Oberfläche, um zu sehen, was in unseren Cloud-Umgebungen vor sich geht.“ "
Adam FletcherSicherheitsbeauftragter
"„Wir wissen, dass, wenn Wiz etwas als kritisch identifiziert, es auch wirklich kritisch ist.“"
Greg PoniatowskiLeiter Bedrohungs- und Schwachstellenmanagement