ГлавнаяБаза уязвимостей БДУ → BDU:2024-00063
6.4средняя

BDU:2024-00063

Уязвимость средства управления безопасностью Flask-Security-Too, связанная с переадресацией URL на ненадежный сайт, позволяющая нарушителю перенаправить пользователя на произвольный URL-адрес
Опубликовано: 2024-01-06
Описание

Уязвимость средства управления безопасностью Flask-Security-Too связана с переадресацией URL на ненадежный сайт при обработке параметра запроса «next». Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перенаправить пользователя на произвольный URL-адрес

Затрагиваемое ПО и версии
РЕД ОС (7.3)Flask-Security-Too (до 5.3.2 включительно)
Способ устранения

Компенсирующие меры:
Используйте следующие конфигуративные настройки:
app.config['SECURITY_REDIRECT_VALIDATE_MODE'] = "regex"
app.config['SECURITY_REDIRECT_VALIDATE_RE'] = r"^/{4,}|\\{3,}|[\s\000-\037][/\\]{2,}(?![/\\])|[/\\]([^/\\]|/[^/\\])*[/\\].*"

Обновление программного обеспечения Flask-Security-Too до версии 5.3.3 и выше

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://pypi.org/project/Flask-Security-Too/https://security.snyk.io/vuln/SNYK-PYTHON-FLASKSECURITYTOO-6139926http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена