PT-2020-5746 · Flask+3 · Flask-Cors+3

Publicado

2020-08-31

·

Atualizado

2024-07-12

·

CVE-2020-25032

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
**Nome do software vulnerável e versões afetadas:
Versões do Flask-CORS anteriores à 3.0.9
Descrição:
O problema está relacionado a verificações incorretas na nomenclatura de caminhos na extensão Flask-CORS para o gerenciamento do compartilhamento de recursos entre fontes. Isso permite que um invasor remoto acesse recursos privados explorando a vulnerabilidade de traversal de diretório, uma vez que a correspondência de recursos não garante que os nomes dos caminhos estejam em um formato canônico. A vulnerabilidade pode ser explorada para obter acesso a dados confidenciais.
Recomendações:
Para versões anteriores à 3.0.9, atualize para a versão 3.0.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a recursos confidenciais para minimizar o risco de exploração.

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22CWE-1188

Identificadores relacionados

BDU:2021-01702
CVE-2020-25032
DSA-4775-1
GHSA-XC3P-FF3M-F46V
OPENSUSE-SU-2020:1393-1
OPENSUSE-SU-2020:1415-1
OPENSUSE-SU-2020:1423-1
OPENSUSE-SU-2020:1446-1
OPENSUSE-SU-2020_1393-1
OPENSUSE-SU-2024:11206-1
OPENSUSE-SU-2024:14129-1
PYSEC-2020-43
SUSE-SU-2020:2876-1
SUSE-SU-2020:3309-1
USN-6019-1

Produtos afetados

Flask-Cors
Linuxmint
Suse
Ubuntu