CVE-2025-32962

ANC

Средний

Flask-AppBuilder - это фреймворк разработки приложений, построенный на основе Flask. Версии до 4.6.2 позволяли злоумышленнику выполнить отк…

CVSS

6.1

Средний

EPSS

0.00

Опубликовано

2025-01-01

Обновлено

2025-01-01

Описание

Flask-AppBuilder - это фреймворк разработки приложений, построенный на основе Flask. Версии до 4.6.2 позволяли злоумышленнику выполнить открытый редирект путем манипуляции заголовком Host в HTTP-запросах. Flask-AppBuilder 4.6.2 ввел переменную конфигурации `FAB_SAFE_REDIRECT_HOSTS`, которая позволяет администраторам явно определять, какие домены считаются безопасными для перенаправления. В качестве обходного пути можно использовать обратный прокси-сервер для обеспечения доверенных заголовков хоста. Источники: - [1] https://github.com/dpgaspar/Flask-AppBuilder/security/advisories/GHSA-99pm-ch96-ccp2 - [2] https://github.com/dpgaspar/Flask-AppBuilder/commit/32eedbbb5cb483a3e782c5f2732de4a6a650d9b6

Теги · CWE

Без аутентификацииОткрытый редирект

CWE-601

CAPEC-178

Затронутые продукты

Flask-appbuilder < 4.6.2

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Хронология

2025-01-01

Опубликована

2025-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: R

Требуется (R)

Область воздействия

S: C

Изменена (C)

Воздействие на конфиденциальность

C: L

Низкое (L)

Воздействие на целостность

I: L

Низкое (L)

Воздействие на доступность

A: N

Отсутствует (N)

Индикаторы эксплуатации

EPSS

0.002 · p8

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Затронутые продукты

Flask-appbuilder_project

Flask-appbuilder

Продукт	Вендор	Статус
		Отслеживается
flask-appbuilder		Отслеживается
flask-appbuilder	*	Отслеживается

Источники данных

ANC

DEB

CVE

Связанные уязвимости

BDU:2026-07921