CVE-2025-58065 in Flask-AppBuilderالمعلومات

الملخص

بحسب VulDB • 02/07/2026

Flask-AppBuilder هو إطار عمل لتطوير التطبيقات. قبل الإصدار 4.8.1، عندما يتم تكوين Flask-AppBuilder لاستخدام OAuth أو LDAP أو طرق مصادقة أخرى غير قاعدة البيانات، يظل نقطة نهاية إعادة تعيين كلمة المرور مسجلة وقابلة للوصول، على الرغم من عدم عرضها في واجهة المستخدم. هذا يسمح للمستخدم المفعّل بإعادة تعيين كلمة مروره وإنشاء رموز JWT حتى بعد تعطيل الحساب لدى مزود المصادقة. يُنصح المستخدمين بالترقية إلى Flask-AppBuilder الإصدار 4.8.1 أو أحدث لتلقي الإصلاح. إذا لم يكن الترقية الفورية ممكنة، قم بتعطيل مسارات إعادة تعيين كلمة المرور يدويًا في تكوين التطبيق؛ ونفّذ ضوابط وصول إضافية على مستوى خادم الويب أو الوكيل (Proxy) لحظر الوصول إلى عنوان URL لإعادة تعيين كلمة المرور الخاصة بي؛ و/أو راقب محاولات إعادة تعيين كلمة مرور مشبوهة من الحسابات المعطلة.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

22/08/2025

إفشاء

11/09/2025

الاعتدال

تمت الموافقة

إدخال

VDB-323716

EPSS

0.00376

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!