CVE-2025-50864

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-50864
An Origin Validation Error in the elysia-cors library thru 1.3.0 allows attackers to bypass Cross-Origin Resource Sharing (CORS) restrictions. The library incorrectly validates the supplied origin by checking if it is a substring of any domain in the site's CORS policy, rather than performing an exact match. For example, a malicious origin like "notexample.com", "example.common.net" is whitelisted when the site's CORS policy specifies "example.com." This vulnerability enables unauthorized access to user data on sites using the elysia-cors library for CORS validation.

6.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact NONE

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
http://elysiajs.com
https://github.com/elysiajs/elysia-cors/blob/main/src/index.ts
https://github.com/elysiajs/elysia-cors/tree/main
https://medium.com/@raghavagrawal_23036/cors-bypass-in-popular-opensource-library-ad27fb41e16a
Configurations

No configuration.

History

21 Aug 2025, 15:15

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 6.5
CWE CWE-178
Summary
  • (es) Un error de validación de origen en elysia-cors library hasta la versión 1.3.0 permite a los atacantes eludir las restricciones de Cross-Origin Resource Sharing (CORS). La librería valida incorrectamente el origen proporcionado comprobando si es una subcadena de algún dominio en la política CORS del sitio, en lugar de realizar una coincidencia exacta. Por ejemplo, un origen malicioso como "notexample.com" o "example.common.net" se incluye en la lista blanca cuando la política CORS del sitio especifica "example.com". Esta vulnerabilidad permite el acceso no autorizado a los datos de usuario en sitios que utilizan la librería elysia-cors para la validación CORS.

20 Aug 2025, 15:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-08-20 15:15

Updated : 2025-08-22 18:09

NVD link : CVE-2025-50864

Mitre link : CVE-2025-50864

CVE.ORG link : CVE-2025-50864

JSON object : View

Products Affected

No product.

CWE
CWE-178

Improper Handling of Case Sensitivity