CVE-2025-58065 in Flask-AppBuilder
要約
〜によって VulDB • 2026年07月02日
Flask-AppBuilderはアプリケーション開発フレームワークです。バージョン4.8.1より前では、Flask-AppBuilderがOAuth、LDAP、またはその他のデータベース以外の認証方法の使用に設定されている場合、パスワードリセットエンドポイントがユーザーインターフェースに表示されないにもかかわらず登録されたままになりアクセス可能です。これにより、有効なユーザーは認証プロバイダ上で無効化された後でも自分のパスワードをリセットし、JWTトークンを作成することができます。修正を受け取るために、Flask-AppBuilderバージョン4.8.1以降にアップグレードしてください。即時のアップグレードが不可能な場合は、アプリケーション設定でパスワードリセットルートを手動で無効にし、Webサーバーまたはプロキシレベルで追加のアクセス制御を実装して「パスワードを再設定する」URLへのアクセスをブロックし、および/または無効化されたアカウントからの不審なパスワードリセット試行を監視してください。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.