PT-2025-20926 · Flask+1 · Flask+1
Publicado
2025-05-13
·
Atualizado
2025-05-26
·
CVE-2025-47278
CVSS v4.0
1.8
Baixa
| Vetor | AV:L/AC:L/AT:P/PR:H/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas:
Versões do Flask 3.1.0
Descrição:
O problema surge do tratamento incorreto da configuração de chaves de fallback no Flask, onde a última chave de fallback é utilizada para assinatura em vez da chave de assinatura atual. Isso ocorre porque o Flask constrói a lista de chaves na ordem inversa, passando a chave de assinatura primeiro. Sites que utilizam rotação de chaves configurando
SECRET KEY FALLBACKS podem, inesperadamente, assinar suas sessões com chaves antigas, impedindo sua transição para chaves mais recentes. No entanto, as sessões ainda são assinadas, prevenindo a perda de integridade dos dados.Recomendações:
Para a versão 3.1.0 do Flask, atualize para a versão 3.1.1 para resolver o problema.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Flask
Ubuntu