Flask-appbuilder
Уязвимости
14
Эксплуатируемые
0
Макс. CVSS
9.1
Макс. EPSS
0.03404
Распределение по критичности
Критический
1
Высокий
2
Средний
10
Низкий
1
Затронутые диапазоны версий
4.1.4–4.2.1< 3.3.2< 3.3.4< 3.4.2< 3.4.5< 4.1.3< 4.3.0< 4.3.11< 4.5.1< 4.5.3< 4.6.2< 4.8.1≤ 3.2.3
Также сопоставлено как (исходные строки): flask-appbuilder
Топ уязвимостей
CVE-2024-25128Flask-AppBuilder — это платформа разработки приложений, построенная на основе Flask. Когда для Flask-AppBuilder установлено значение AUTH_TYPE AUTH_OID, он позволяет злоумышленнику подделать HTTP-запрос, который может обмануть серверную часть и заставить ее использовать любую запрошенную службу OpenID. Эта уязвимость может предоставить злоумышленнику несанкционированный доступ к привилегиям, если злоумышленник развернет пользовательскую службу OpenID, доступную для серверной части. Эта уязвимость может быть использована только в том случае, если приложение использует протокол авторизации OpenID 2.0. Обновитесь до Flask-AppBuilder 4.3.11, чтобы устранить эту уязвимость.
CVE-2021-41265Flask-AppBuilder - это среда разработки, построенная на основе Flask. Версии до 3.3.4 содержат уязвимость, связанную с неправильной аутентификацией в REST API. Проблема позволяет злоумышленнику с тщательно разработанным запросом успешно пройти аутентификацию и получить доступ к существующим защищенным конечным точкам REST API. Это относится только к типам аутентификации, не основанным на базах данных, и к новым конечным точкам REST API. Пользователям следует обновиться до Flask-AppBuilder 3.3.4, чтобы получить исправление.
CVE-2023-29005Версии Flask-AppBuilder до 4.3.0 не имеют ограничения по частоте, что может позволить злоумышленнику проводить перебор учетных данных пользователей. Версия 4.3.0 включает возможность включения ограничения по частоте, используя `AUTH_RATE_LIMITED = True`, `RATELIMIT_ENABLED = True`, и установку `AUTH_RATE_LIMIT`.
CVE-2025-58065Flask-AppBuilder - это фреймворк для разработки приложений. До версии 4.8.1, когда Flask-AppBuilder настроен на использование OAuth, LDAP или других методов аутентификации, не основанных на базе данных, endpoint сброса пароля остается зарегистрированным и доступным, несмотря на то, что он не отображается в пользовательском интерфейсе. Это позволяет включенному пользователю сбросить пароль и создавать токены JWT даже после того, как пользователь был отключен на провайдере аутентификации [1].
Пользователям следует обновиться до версии Flask-AppBuilder 4.8.1 или более поздней, чтобы получить исправление. Если немедленное обновление невозможно, вручную отключите маршруты сброса пароля в конфигурации приложения; реализуйте дополнительные средства контроля доступа на уровне веб-сервера или прокси для блокировки доступа к URL сброса пароля; и/или отслеживайте подозрительные попытки сброса пароля для отключенных учетных записей.
Источники:
- [1] https://github.com/dpgaspar/Flask-AppBuilder/security/advisories/GHSA-765j-9r45-w2q2
- [2] https://github.com/dpgaspar/Flask-AppBuilder/pull/2384
- [3] https://github.com/dpgaspar/Flask-AppBuilder/commit/a942a9cc5775752f9a02f97fd8198dd288fa93ee
- [4] https://github.com/dpgaspar/Flask-AppBuilder/releases/tag/v4.8.1
CVE-2025-32962Flask-AppBuilder - это фреймворк разработки приложений, построенный на основе Flask. Версии до 4.6.2 позволяли злоумышленнику выполнить открытый редирект путем манипуляции заголовком Host в HTTP-запросах. Flask-AppBuilder 4.6.2 ввел переменную конфигурации `FAB_SAFE_REDIRECT_HOSTS`, которая позволяет администраторам явно определять, какие домены считаются безопасными для перенаправления. В качестве обходного пути можно использовать обратный прокси-сервер для обеспечения доверенных заголовков хоста. Источники:
- [1] https://github.com/dpgaspar/Flask-AppBuilder/security/advisories/GHSA-99pm-ch96-ccp2
- [2] https://github.com/dpgaspar/Flask-AppBuilder/commit/32eedbbb5cb483a3e782c5f2732de4a6a650d9b6
CVE-2024-27083Flask-AppBuilder - это платформа для разработки приложений, построенная на основе Flask. Обнаружена уязвимость межсайтового скриптинга (XSS) на странице входа в OAuth. Злоумышленник может обманом заставить пользователя перейти по специально созданной URL-ссылке на страницу входа в OAuth. Эта URL-ссылка может внедрить и выполнить вредоносный код javascript, который будет выполнен в браузере пользователя. Эта проблема возникла в версии 4.1.4 и исправлена в версии 4.2.1.
CVE-2022-24776Flask-AppBuilder — это платформа разработки приложений, построенная на основе веб-фреймворка Flask. Flask-AppBuilder содержит уязвимость открытого перенаправления при использовании страницы входа в систему аутентификации базы данных в версиях ниже 3.4.5. Эта проблема исправлена в версии 3.4.5. В настоящее время нет известных обходных путей.
CVE-2021-32805Flask-AppBuilder - это платформа разработки приложений, построенная на основе Flask. В затронутых версиях, если используется Flask-AppBuilder OAuth, злоумышленник может поделиться тщательно разработанным URL-адресом с доверенным доменом для приложения, созданного с помощью Flask-AppBuilder, этот URL-адрес может перенаправить пользователя на вредоносный сайт. Это уязвимость открытого перенаправления. Чтобы решить эту проблему, обновитесь до Flask-AppBuilder 3.2.2 или выше. Если обновление невозможно, пользователи могут отфильтровать HTTP-трафик, содержащий `?next={next-site}`, где домен `next-site` отличается от приложения, которое вы защищаете, в качестве обходного пути.
CVE-2024-45314Flask-AppBuilder - это среда разработки приложений. До версии 4.5.1 директивы кэширования по умолчанию формы входа в БД auth позволяют браузеру локально хранить конфиденциальные данные. Это может быть проблемой в средах, использующих общие компьютерные ресурсы. Версия 4.5.1 содержит исправление для этой проблемы. Если обновление невозможно, настройте свой веб-сервер для отправки определенных HTTP-заголовков для `/login` в соответствии с указаниями, приведенными в GitHub Security Advisory.
CVE-2025-24023Flask-AppBuilder — это фреймворк для разработки приложений. До версии 4.5.3 Flask-AppBuilder позволяет неаутентифицированным пользователям перечислять существующие имена пользователей, измеряя время отклика сервера при брутфорсинговых запросах на вход. Эта уязвимость исправлена в версии 4.5.3.
CVE-2022-21659Flask-AppBuilder — это платформа для разработки приложений, построенная на основе веб-фреймворка Flask. В уязвимых версиях существует уязвимость перечисления пользователей. Эта уязвимость позволяет не прошедшему проверку подлинности пользователю перечислять существующие учетные записи, определяя время ответа от сервера при входе в систему. Пользователям рекомендуется как можно скорее обновиться до версии 3.4.4. Обходных путей для этой проблемы нет.
CVE-2021-29621Flask-AppBuilder — это платформа разработки, построенная на основе Flask. Перечисление пользователей в аутентификации базы данных во Flask-AppBuilder <= 3.2.3. Позволяет не прошедшему аутентификацию пользователю перечислять существующие учетные записи, определяя время отклика сервера при входе в систему. Обновитесь до версии 3.3.0 или выше, чтобы решить эту проблему.
BDU:2026-07921Уязвимость фреймворка для разработки веб-приложений Flask-AppBuilder связана с переадресацией URL на ненадежный сайт. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, переадресовывать пользователя на произвольные адреса URL, манипулируя заголовком Host в HTTP-запросах
CVE-2022-31177Flask-AppBuilder — это платформа разработки приложений, построенная на основе платформы Flask python. В версиях до 4.1.3 аутентифицированный пользователь с правами администратора мог запрашивать других пользователей по их строкам соленых и хешированных паролей. Эти фильтры можно было создавать, используя частичные строки хешированных паролей. Ответ не содержал бы хешированные пароли, но злоумышленник мог бы вывести частичные хеши паролей и соответствующих им пользователей. Эта проблема была исправлена в версии 4.1.3. Пользователям рекомендуется выполнить обновление. Для решения этой проблемы нет известных обходных путей.