CVE-2026-34531

Name of the Vulnerable Software and Affected Versions Flask-HTTPAuth versões anteriores a 4.8.1

Description Flask-HTTPAuth, quando usado com autenticação por token, poderia potencialmente autenticar solicitações de clientes contra qualquer usuário no banco de dados com uma string vazia definida como seu token se a solicitação do cliente não incluir um token ou incluir um token vazio. Isso ocorre porque a função de retorno de chamada de verificação de token da aplicação é invocada com uma string vazia como o argumento token. Este problema se aplica apenas à autenticação por token e a aplicações que verificam tokens pesquisando-os em um banco de dados de usuários. Não afeta a autenticação Básica ou Digest, nem tokens verificados por meios criptográficos.

Recommendations Certifique-se de que nenhum usuário no banco de dados de usuários tenha seu token definido como uma string vazia. Altere o valor desses tokens para NULL em vez disso. Alternativamente, atualize para a versão 4.8.1 ou posterior do Flask-HTTPAuth.