Flask-appbuilder
Уязвимости
7
Эксплуатируемые
0
Макс. CVSS
9.1
Макс. EPSS
0.00857
Распределение по критичности
Критический
1
Высокий
0
Средний
5
Низкий
1
Затронутые диапазоны версий
4.1.4–4.2.1< 4.3.11< 4.3.2< 4.5.1< 4.5.3< 4.6.2< 4.8.1
Также сопоставлено как (исходные строки): flask-appbuilder
Топ уязвимостей
CVE-2024-25128Flask-AppBuilder — это платформа разработки приложений, построенная на основе Flask. Когда для Flask-AppBuilder установлено значение AUTH_TYPE AUTH_OID, он позволяет злоумышленнику подделать HTTP-запрос, который может обмануть серверную часть и заставить ее использовать любую запрошенную службу OpenID. Эта уязвимость может предоставить злоумышленнику несанкционированный доступ к привилегиям, если злоумышленник развернет пользовательскую службу OpenID, доступную для серверной части. Эта уязвимость может быть использована только в том случае, если приложение использует протокол авторизации OpenID 2.0. Обновитесь до Flask-AppBuilder 4.3.11, чтобы устранить эту уязвимость.
CVE-2025-58065Flask-AppBuilder - это фреймворк для разработки приложений. До версии 4.8.1, когда Flask-AppBuilder настроен на использование OAuth, LDAP или других методов аутентификации, не основанных на базе данных, endpoint сброса пароля остается зарегистрированным и доступным, несмотря на то, что он не отображается в пользовательском интерфейсе. Это позволяет включенному пользователю сбросить пароль и создавать токены JWT даже после того, как пользователь был отключен на провайдере аутентификации [1].
Пользователям следует обновиться до версии Flask-AppBuilder 4.8.1 или более поздней, чтобы получить исправление. Если немедленное обновление невозможно, вручную отключите маршруты сброса пароля в конфигурации приложения; реализуйте дополнительные средства контроля доступа на уровне веб-сервера или прокси для блокировки доступа к URL сброса пароля; и/или отслеживайте подозрительные попытки сброса пароля для отключенных учетных записей.
Источники:
- [1] https://github.com/dpgaspar/Flask-AppBuilder/security/advisories/GHSA-765j-9r45-w2q2
- [2] https://github.com/dpgaspar/Flask-AppBuilder/pull/2384
- [3] https://github.com/dpgaspar/Flask-AppBuilder/commit/a942a9cc5775752f9a02f97fd8198dd288fa93ee
- [4] https://github.com/dpgaspar/Flask-AppBuilder/releases/tag/v4.8.1
CVE-2025-32962Flask-AppBuilder - это фреймворк разработки приложений, построенный на основе Flask. Версии до 4.6.2 позволяли злоумышленнику выполнить открытый редирект путем манипуляции заголовком Host в HTTP-запросах. Flask-AppBuilder 4.6.2 ввел переменную конфигурации `FAB_SAFE_REDIRECT_HOSTS`, которая позволяет администраторам явно определять, какие домены считаются безопасными для перенаправления. В качестве обходного пути можно использовать обратный прокси-сервер для обеспечения доверенных заголовков хоста. Источники:
- [1] https://github.com/dpgaspar/Flask-AppBuilder/security/advisories/GHSA-99pm-ch96-ccp2
- [2] https://github.com/dpgaspar/Flask-AppBuilder/commit/32eedbbb5cb483a3e782c5f2732de4a6a650d9b6
CVE-2024-27083Flask-AppBuilder - это платформа для разработки приложений, построенная на основе Flask. Обнаружена уязвимость межсайтового скриптинга (XSS) на странице входа в OAuth. Злоумышленник может обманом заставить пользователя перейти по специально созданной URL-ссылке на страницу входа в OAuth. Эта URL-ссылка может внедрить и выполнить вредоносный код javascript, который будет выполнен в браузере пользователя. Эта проблема возникла в версии 4.1.4 и исправлена в версии 4.2.1.
CVE-2024-45314Flask-AppBuilder - это среда разработки приложений. До версии 4.5.1 директивы кэширования по умолчанию формы входа в БД auth позволяют браузеру локально хранить конфиденциальные данные. Это может быть проблемой в средах, использующих общие компьютерные ресурсы. Версия 4.5.1 содержит исправление для этой проблемы. Если обновление невозможно, настройте свой веб-сервер для отправки определенных HTTP-заголовков для `/login` в соответствии с указаниями, приведенными в GitHub Security Advisory.
CVE-2025-24023Flask-AppBuilder — это фреймворк для разработки приложений. До версии 4.5.3 Flask-AppBuilder позволяет неаутентифицированным пользователям перечислять существующие имена пользователей, измеряя время отклика сервера при брутфорсинговых запросах на вход. Эта уязвимость исправлена в версии 4.5.3.
CVE-2023-34110Flask-AppBuilder - это платформа для разработки приложений, построенная на основе Flask. До версии 4.3.2 злоумышленник с правами администратора мог, добавив специальный символ в формы добавления и редактирования пользователя, вызвать ошибку базы данных, которая отображается этому злоумышленнику в пользовательском интерфейсе. В некоторых движках баз данных эта ошибка может включать всю строку пользователя, включая хэшированный пароль pbkdf2:sha256. Эта уязвимость была исправлена в версии 4.3.2.