CWE-601 URL REDIRECTION TO UNTRUSTED SITE:
Le versioni interessate di questo pacchetto sono vulnerabili a Open Redirect. Quando si utilizza la funzione make_safe_url, è possibile bypassare la convalida dell'URL e reindirizzare un utente a un URL arbitrario fornendo più back slash come /////evil.com/path o \\\evil.com/path. Questa vulnerabilità è sfruttabile solo se viene utilizzato un server WSGI alternativo diverso da Werkzeug o se il comportamento predefinito di Werkzeug viene modificato utilizzando 'autocorrect_location_header=False'.
Leggi tutto: "Sfruttamento URL Parsing Confusion"
CVE-2021-23401
Flask
Flask-utente
5.4
Team82 si impegna a segnalare privatamente le vulnerabilità ai fornitori interessati in modo coordinato e tempestivo al fine di garantire la sicurezza dell’ecosistema della sicurezza informatica in tutto il mondo. Per interagire con il fornitore e la comunità di ricerca, Team82 ti invita a scaricare e condividere la nostra Politica sulla divulgazione coordinata. Team82 aderisce a questo processo di segnalazione e divulgazione quando scopriamo vulnerabilità in prodotti e servizi.
Team82 ha inoltre reso disponibile la sua chiave PGP pubblica per il fornitore e la comunità di ricerca per scambiare in modo sicuro e protetto le informazioni sulla vulnerabilità e sulla ricerca con noi.
