发布日期：2019-08-12
更新日期：2019-08-12

受影响系统：

Olivier Poitrey Go CORS

描述：

---

BUGTRAQ  ID: 106834
CVE(CAN) ID: CVE-2018-20744

Olivier Poitrey Go CORS handler是一款用于处理CORS请求的可配置处理程序。
Olivier Poitrey Go CORS handler 1.3.0及之前版本主动对支持通配符的CORS策略进行转换，泄露任意Origin报文头的值，这不符合CORS安全设计且可能导致CORS配置错误安全漏洞。攻击者可利用该漏洞绕过某些安全限制从而执行未经授权的操作。

<*来源：chenjj
  
  链接：https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-chen.pdf
*>

建议：

---

厂商补丁：

USENIX
------
USENIX已经为此发布了一个安全公告（CVE-2018-20744）以及相应补丁:
CVE-2018-20744：We Still Don’t Have Secure Cross-Domain Requests: an Empirical Study of CORS
链接：https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-chen.pdf

补丁下载：

浏览次数：948
严重程度：0（网友投票）