Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Dpgaspar›Приложениеanchore_overrides

Flask App Builder

Уязвимости

4

Эксплуатируемые

0

Макс. CVSS

9.1

Макс. EPSS

0.00857

Распределение по критичности

Критический

1

Высокий

0

Средний

3

Низкий

0

Затронутые диапазоны версий

4.1.4–4.2.1< 4.3.11< 4.5.1< 4.5.3

Топ уязвимостей

CVE-2024-25128Flask-AppBuilder — это платформа разработки приложений, построенная на основе Flask. Когда для Flask-AppBuilder установлено значение AUTH_TYPE AUTH_OID, он позволяет злоумышленнику подделать HTTP-запрос, который может обмануть серверную часть и заставить ее использовать любую запрошенную службу OpenID. Эта уязвимость может предоставить злоумышленнику несанкционированный доступ к привилегиям, если злоумышленник развернет пользовательскую службу OpenID, доступную для серверной части. Эта уязвимость может быть использована только в том случае, если приложение использует протокол авторизации OpenID 2.0. Обновитесь до Flask-AppBuilder 4.3.11, чтобы устранить эту уязвимость.

CVE-2024-27083Flask-AppBuilder - это платформа для разработки приложений, построенная на основе Flask. Обнаружена уязвимость межсайтового скриптинга (XSS) на странице входа в OAuth. Злоумышленник может обманом заставить пользователя перейти по специально созданной URL-ссылке на страницу входа в OAuth. Эта URL-ссылка может внедрить и выполнить вредоносный код javascript, который будет выполнен в браузере пользователя. Эта проблема возникла в версии 4.1.4 и исправлена в версии 4.2.1.

CVE-2024-45314Flask-AppBuilder - это среда разработки приложений. До версии 4.5.1 директивы кэширования по умолчанию формы входа в БД auth позволяют браузеру локально хранить конфиденциальные данные. Это может быть проблемой в средах, использующих общие компьютерные ресурсы. Версия 4.5.1 содержит исправление для этой проблемы. Если обновление невозможно, настройте свой веб-сервер для отправки определенных HTTP-заголовков для `/login` в соответствии с указаниями, приведенными в GitHub Security Advisory.

CVE-2025-24023Flask-AppBuilder — это фреймворк для разработки приложений. До версии 4.5.3 Flask-AppBuilder позволяет неаутентифицированным пользователям перечислять существующие имена пользователей, измеряя время отклика сервера при брутфорсинговых запросах на вход. Эта уязвимость исправлена в версии 4.5.3.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →