CVE-2026-27205

Nome do Software Vulnerável e Versões Afetadas Versões do Flask 3.1.2 e inferiores

Descrição O Flask, um framework de aplicação web de interface de gateway de servidor web (WSGI), pode gerenciar o cache de forma inadequada ao acessar o objeto de sessão. Especificamente, ele pode falhar ao definir o cabeçalho 'Vary: Cookie', potencialmente resultando em um problema de Uso de Cache Contendo Informações Sensíveis. Isso ocorre quando a aplicação está hospedada atrás de um proxy de cache que não ignora respostas com cookies, não possui um cabeçalho 'Cache-Control' para marcar páginas como privadas ou não cacheáveis e acessa a sessão de maneira que apenas verifica chaves sem ler valores ou modificar a sessão. O problema surge por não considerar certas formas de acesso, como o operador 'in' do Python.

Recomendações Atualize para o Flask versão 3.1.3 ou posterior.