CVE-2026-25478

Nome do Software Vulnerável e Versões Afetadas Versões do Litestar anteriores a 2.20.0

Descrição O Litestar é um framework de Interface de Gateway de Servidor Assíncrono (ASGI). Antes da versão 2.20.0, o processo de validação de origem CORS pode ser contornado. Isso ocorre porque a lista de origens permitidas é compilada em uma expressão regular sem escapar adequadamente os metacaracteres. Especificamente, o allowed origins regex é construído usando os valores configurados da lista de origens permitidas e utilizado com fullmatch() para validação. Uma origem maliciosa pode corresponder inesperadamente devido à falta de escape, potencialmente levando à exposição de dados entre origens se allow credentials estiver definido como True e os endpoints autenticados retornarem dados sensíveis. O componente vulnerável é CORSConfig.allowed origins regex e a validação depende de allowed origins regex.fullmatch(origin). O problema está relacionado ao uso de expressões regulares para validar o cabeçalho Origin.

Recomendações As versões anteriores a 2.20.0 devem ser atualizadas para a versão 2.20.0 ou posterior para resolver este problema.