PT-2021-19942 · Pypi · Flask-Appbuilder
Dpgaspar
·
Publicado
2021-09-08
·
Atualizado
2021-09-15
·
CVE-2021-32805
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Flask-AppBuilder anteriores à 3.2.2
Descrição
O problema é uma vulnerabilidade de redirecionamento aberto que ocorre ao usar o OAuth do Flask-AppBuilder. Um invasor pode compartilhar uma URL cuidadosamente criada com um domínio confiável para um aplicativo desenvolvido com o Flask-AppBuilder, o que pode redirecionar um usuário para um site malicioso.
Recomendações
Para resolver este problema, atualize para o Flask-AppBuilder 3.2.2 ou superior.
Se a atualização não for viável, filtre o tráfego HTTP que contenha
?next={next-site}, onde o domínio next-site seja diferente do aplicativo que você está protegendo, como solução alternativa.Correção
Open Redirect
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Flask-Appbuilder