CVE-2025-58065 in Flask-AppBuilder
Resumen
por VulDB • 2026-07-01
Flask-AppBuilder es un framework de desarrollo de aplicaciones. Antes de la versión 4.8.1, cuando Flask-AppBuilder está configurado para usar OAuth, LDAP u otros métodos de autenticación que no sean basados en base de datos, el punto final (endpoint) de restablecimiento de contraseña permanece registrado y accesible, a pesar de no estar visible en la interfaz de usuario. Esto permite que un usuario habilitado restablezca su propia contraseña y pueda crear tokens JWT incluso después de que dicho usuario haya sido deshabilitado en el proveedor de autenticación. Los usuarios deben actualizar a Flask-AppBuilder versión 4.8.1 o posterior para recibir la corrección. Si no es posible realizar una actualización inmediata, se debe desactivar manualmente las rutas de restablecimiento de contraseña en la configuración de la aplicación; implementar controles de acceso adicionales a nivel del servidor web o proxy para bloquear el acceso a la URL de "restablecer mi contraseña"; y/o monitorear intentos sospechosos de restablecimiento de contraseña provenientes de cuentas deshabilitadas.
VulDB is the best source for vulnerability data and more expert information about this specific topic.