Dpgaspar

**Nome do software vulnerável e versões afetadas** Versões do Flask-AppBuilder anteriores à 4.5.1 **Descrição** As diretivas de cache padrão do formulário de login do banco de dados de autenticação no Flask-AppBuilder permitem que os navegadores armazenem dados confidenciais localmente. Isso pode ser um problema em ambientes que utilizam recursos de computador compartilhados. **Recomendações** Para versões anteriores à 4.5.1, atualize para a versão 4.5.1 para resolver o problema. Se a atualização não for possível, configure seu servidor web para enviar os cabeçalhos HTTP específicos para “/login”, incluindo “Cache-Control”: “no-store, no-cache, must-revalidate, max-age=0”, “Pragma”: “no-cache” e ‘Expires’: “0”.

**Name of the Vulnerable Software and Affected Versions** Flask-AppBuilder versions prior to 4.3.0 **Description** The issue is related to the lack of rate limiting, which can allow an attacker to brute-force user credentials. This can be exploited by attackers to gain unauthorized access. The estimated number of potentially affected devices worldwide is not specified. **Recommendations** For versions prior to 4.3.0, update to version 4.3.0 or later and enable rate limiting by setting `AUTH RATE LIMITED = True`, `RATELIMIT ENABLED = True`, and configuring an `AUTH RATE LIMIT`. As a temporary workaround, consider implementing rate limiting using a reverse proxy or other strategies.

**Nome do software vulnerável e versões afetadas** Versões do Flask-AppBuilder anteriores à 3.4.5 **Descrição** O Flask-AppBuilder contém uma vulnerabilidade de redirecionamento aberto ao utilizar a página de login de autenticação do banco de dados. Esse problema foi corrigido na versão 3.4.5. Atualmente, não há soluções alternativas conhecidas. **Recomendações** Para versões anteriores à 3.4.5, atualize para a versão 3.4.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à página de login de autenticação do banco de dados até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Flask-AppBuilder anteriores à 3.3.4 **Descrição** O problema está relacionado a uma autenticação inadequada na API REST, permitindo que um agente mal-intencionado, por meio de uma solicitação cuidadosamente elaborada, consiga se autenticar e obter acesso a pontos de extremidade (endpoints) protegidos da API REST. Isso afeta apenas os tipos de autenticação que não utilizam banco de dados e os novos pontos de extremidade da API REST. **Recomendações** Para versões anteriores à 3.3.4, atualize para o Flask-AppBuilder 3.3.4 para receber um patch. Como solução temporária, considere restringir o acesso a novos pontos de extremidade da API REST até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Flask-AppBuilder anteriores à 3.2.2 **Descrição** O problema é uma vulnerabilidade de redirecionamento aberto que ocorre ao usar o OAuth do Flask-AppBuilder. Um invasor pode compartilhar uma URL cuidadosamente criada com um domínio confiável para um aplicativo desenvolvido com o Flask-AppBuilder, o que pode redirecionar um usuário para um site malicioso. **Recomendações** Para resolver este problema, atualize para o Flask-AppBuilder 3.2.2 ou superior. Se a atualização não for viável, filtre o tráfego HTTP que contenha `?next={next-site}`, onde o domínio `next-site` seja diferente do aplicativo que você está protegendo, como solução alternativa.