CVE-2024-10906
Python Analisi e mitigazione delle vulnerabilità

Panoramica

In version 0.6.0 of eosphoros-ai/db-gpt, a critical security vulnerability was identified involving the uvicorn app created by dbgpt_server. The vulnerability stems from an overly permissive instance of CORSMiddleware which sets the Access-Control-Allow-Origin to * for all requests. This vulnerability was assigned CVE-2024-10906 and was disclosed on March 20, 2025 (NVD).

Dettagli tecnici

The vulnerability is classified as a Cross-Site Request Forgery (CSRF) vulnerability with a CVSS v3.0 base score of 7.1 (HIGH). The technical root cause is the misconfiguration of CORS policy in the uvicorn app, where the Access-Control-Allow-Origin header is set to *, allowing requests from any origin. The vulnerability has been assigned CWE-352 (Cross-Site Request Forgery) classification (NVD, Huntr).

Impatto

The vulnerability makes all endpoints exposed by the server vulnerable to Cross-Site Request Forgery (CSRF) attacks. An attacker can potentially interact with any endpoints of the instance, even if the instance is not publicly exposed to the network. This poses a significant risk as it could allow unauthorized actions to be performed on behalf of authenticated users (NVD).

Risorse aggiuntive


FonteQuesto report è stato generato utilizzando l'intelligenza artificiale

Imparentato Python Vulnerabilità:

CVE ID

Severità

Punteggio

Tecnologie

Nome del componente

Exploit CISA KEV

Ha la correzione

Data di pubblicazione

GHSA-r3hx-x5rh-p9vvHIGH8.7
  • Python logoPython
  • django-haystack
NoJul 15, 2026
CVE-2026-54457HIGH7.7
  • Python logoPython
  • tensorzero
NoJul 15, 2026
CVE-2026-50271HIGH7.5
  • Python logoPython
  • ddtrace
NoJul 15, 2026
CVE-2026-54254MEDIUM6.9
  • Python logoPython
  • cyberdrop-dl-patched
NoJul 15, 2026
CVE-2026-53656MEDIUM6.3
  • Python logoPython
  • fiftyone
NoJul 15, 2026

Valutazione gratuita delle vulnerabilità

Benchmark della tua posizione di sicurezza del cloud

Valuta le tue pratiche di sicurezza cloud in 9 domini di sicurezza per confrontare il tuo livello di rischio e identificare le lacune nelle tue difese.

Richiedi valutazione

Richiedi una demo personalizzata

Pronti a vedere Wiz in azione?

"La migliore esperienza utente che abbia mai visto offre piena visibilità ai carichi di lavoro cloud."
David EstlickCISO (CISO)
"Wiz fornisce un unico pannello di controllo per vedere cosa sta succedendo nei nostri ambienti cloud."
Adam FletcherResponsabile della sicurezza
"Sappiamo che se Wiz identifica qualcosa come critico, in realtà lo è."
Greg PoniatowskiResponsabile della gestione delle minacce e delle vulnerabilità