ГлавнаяБаза уязвимостей БДУ → BDU:2023-02381
7.8высокая

BDU:2023-02381

Уязвимость фреймворка Flask, связанная с возможностью отправки файла cookie-сеанса одного клиента другим пользователям, позволяющая нарушителю получить доступ к защищаемой информации
Опубликовано: 2023-05-05
Описание

Уязвимость фреймворка Flask связана с возможностью отправки файла cookie-сеанса одного клиента другим пользователям. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к защищаемой информации

Затрагиваемое ПО и версии
РЕД ОС (7.3)Flask (до 2.3.1 включительно)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение SESSION_REFRESH_EACH_REQUEST;
- настроить session.permanent = False;
- конфигурирование кэширующего прокси-сервера на автоматическое удаление cookie-файлов.

Использование рекомендаций производителя:
https://github.com/pallets/flask/security/advisories/GHSA-m2qf-hxjv-5gpq
https://github.com/pallets/flask/releases/tag/2.3.2
https://github.com/pallets/flask/releases/tag/2.2.5

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения flask до версии 1.0.2-3+deb10u1

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/pallets/flask/security/advisories/GHSA-m2qf-hxjv-5gpqhttps://github.com/pallets/flask/releases/tag/2.3.2https://github.com/pallets/flask/releases/tag/2.2.5https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.9/
Проверьте безопасность своего сайта и почты → Полная проверка домена