CVE-2025-58065 in Flask-AppBuilderinformación

Resumen

por VulDB • 2026-07-01

Flask-AppBuilder es un framework de desarrollo de aplicaciones. Antes de la versión 4.8.1, cuando Flask-AppBuilder está configurado para usar OAuth, LDAP u otros métodos de autenticación que no sean basados en base de datos, el punto final (endpoint) de restablecimiento de contraseña permanece registrado y accesible, a pesar de no estar visible en la interfaz de usuario. Esto permite que un usuario habilitado restablezca su propia contraseña y pueda crear tokens JWT incluso después de que dicho usuario haya sido deshabilitado en el proveedor de autenticación. Los usuarios deben actualizar a Flask-AppBuilder versión 4.8.1 o posterior para recibir la corrección. Si no es posible realizar una actualización inmediata, se debe desactivar manualmente las rutas de restablecimiento de contraseña en la configuración de la aplicación; implementar controles de acceso adicionales a nivel del servidor web o proxy para bloquear el acceso a la URL de "restablecer mi contraseña"; y/o monitorear intentos sospechosos de restablecimiento de contraseña provenientes de cuentas deshabilitadas.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2025-08-22

Divulgación

2025-09-11

Moderación

aceptado

Artículo

VDB-323716

CPE

listo

EPSS

0.00376

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!