1  info:
 2    name: feast
 3    cve: CVE-2024-11602
 4    summary: feast-dev/feast版本0.40.0中的不安全CORS配置
 5    details: |
 6      feast-dev/feast版本0.40.0中存在跨域资源共享（CORS）漏洞。
 7      agentscope服务器上的CORS配置未正确限制仅允许受信任的来源访问，
 8      允许任何外部域向API发出请求。这可以绕过预期的安全控制
 9      并可能暴露敏感信息。
10    cvss: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N
11    severity: HIGH
12    security_advise: |
13      1. 升级到feast-dev/feast版本0.40.1或更高版本。
14      2. 审查并修改CORS配置，以仅限制受信任的来源访问。
15      3. 实施额外的安全控制以防止未经授权的API访问。
16  rule: version == "0.40.0"
17  references:
18    - https://nvd.nist.gov/vuln/detail/CVE-2024-11602
19    - https://huntr.com/bounties/7b24ecbe-0af7-4125-ab56-bce09786042e