PT-2025-9520 · Rembg · Rembg
Kevin Stubbings
+1
·
Publicado
2025-03-03
·
Atualizado
2025-03-21
·
CVE-2025-25302
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Rembg 2.0.57 e anteriores
Descrição
O problema envolve a configuração do middleware CORS no Rembg, que está configurado para refletir todas as origens. Isso permite que qualquer site envie solicitações entre sites para o servidor Rembg, permitindo-lhes consultar qualquer API. Além disso, mesmo que a autenticação esteja habilitada, a configuração
allow credentials está definida como True, o que permitiria que qualquer site enviasse solicitações entre sites autenticadas.Recomendações
Para as versões do Rembg 2.0.57 e anteriores, atualize a configuração do middleware CORS para refletir apenas origens confiáveis e defina
allow credentials como False para prevenir solicitações entre sites não autorizadas.Exploit
Correção
Origin Validation Error
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rembg