CVE-2025-58065 in Flask-AppBuilderinformazioni

Riassunto

di VulDB • 02/07/2026

Flask-AppBuilder è un framework per lo sviluppo di applicazioni. Prima della versione 4.8.1, quando Flask-AppBuilder è configurato per utilizzare OAuth, LDAP o altri metodi di autenticazione non basati su database, l'endpoint per il reset della password rimane registrato e accessibile, nonostante non sia visualizzato nell'interfaccia utente. Ciò consente a un utente abilitato di reimpostare la propria password ed essere in grado di creare token JWT anche dopo che l'utente è stato disabilitato sul provider di autenticazione. Gli utenti dovrebbero effettuare l'aggiornamento alla versione 4.8.1 o successiva di Flask-AppBuilder per ricevere una correzione. Se un aggiornamento immediato non è possibile, disabilitare manualmente i percorsi (route) per il reset della password nella configurazione dell'applicazione; implementare controlli di accesso aggiuntivi a livello di server web o proxy per bloccare l'accesso all'URL "reset my password"; e/o monitorare tentativi sospetti di reset della password provenienti da account disabilitati.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

22/08/2025

Divulgazione

11/09/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00376

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!