Уязвимость средства управления безопасностью Flask-Security-Too связана с переадресацией URL на ненадежный сайт при обработке параметра запроса «next». Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перенаправить пользователя на произвольный URL-адрес
Компенсирующие меры:
Используйте следующие конфигуративные настройки:
app.config['SECURITY_REDIRECT_VALIDATE_MODE'] = "regex"
app.config['SECURITY_REDIRECT_VALIDATE_RE'] = r"^/{4,}|\\{3,}|[\s\000-\037][/\\]{2,}(?![/\\])|[/\\]([^/\\]|/[^/\\])*[/\\].*"
Обновление программного обеспечения Flask-Security-Too до версии 5.3.3 и выше
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
| Балл | 6.4 — средняя опасность |