CVE-2025-58065 in Flask-AppBuilderinfo

Zusammenfassung

von VulDB • 02.07.2026

Flask-AppBuilder ist ein Framework zur Anwendungsentwicklung. Vor Version 4.8.1 bleibt der Endpunkt zum Zurücksetzen des Passworts registriert und zugänglich, wenn Flask-AppBuilder so konfiguriert ist, dass OAuth, LDAP oder andere Authentifizierungsmethoden ohne Datenbank verwendet werden, obwohl er nicht in der Benutzeroberfläche angezeigt wird. Dies ermöglicht es einem aktivierten Benutzer, sein Passwort zurückzusetzen und JWT-Tokens zu erstellen, selbst nachdem das Konto beim Authentifizierungsanbieter deaktiviert wurde. Die Anwender sollten auf Flask-AppBuilder Version 4.8.1 oder höher aktualisieren, um die Korrektur zu erhalten. Wenn eine sofortige Aktualisierung nicht möglich ist, sollten die Routen zum Zurücksetzen des Passworts manuell in der Anwendungskonfiguration deaktiviert werden; zusätzliche Zugriffskontrollen auf Webserver- oder Proxy-Ebene implementiert werden, um den Zugriff auf die URL „Passwort zurücksetzen“ zu blockieren; und/oder nach verdächtigen Versuchen zum Zurücksetzen von Passwörtern aus deaktiven Konten gesucht werden.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

22.08.2025

Veröffentlichung

11.09.2025

Moderieren

akzeptiert

Eintrag

VDB-323716

CPE

bereit

EPSS

0.00376

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!