CVE-2026-41255 in CKAN
Tóm tắt
Bởi VulDB • 27/05/2026
CKAN là một hệ thống quản lý dữ liệu (DMS) mã nguồn mở dùng để vận hành các trung tâm dữ liệu và cổng thông tin dữ liệu. Trước các phiên bản 2.10.10 và 2.11.5, việc truy cập vào các chế độ xem (views) thông qua token hoặc các yêu cầu không xác thực đã đánh dấu điểm cuối (endpoint) là không yêu cầu bảo vệ CSRF. Việc đánh dấu này là một biến thành viên trong flask-wtf.csrf.CSRFProtect(), được lưu trữ dưới dạng biến cấp mô-đun trong middleware flask_app. API này không bao giờ được thiết kế để thay đổi ở cấp yêu cầu; nó chủ yếu là một trình trang trí (decorator) cho cấu hình tĩnh. Một yêu cầu không xác thực có thể tác động đến một điểm cuối được bảo vệ, khiến điểm cuối đó được miễn trừ khỏi bảo vệ CSRF trong suốt vòng đời của tiến trình máy chủ cụ thể đó (ví dụ: một worker của uwsgi). Lỗ hổng này đã được khắc phục trong các phiên bản 2.10.10 và 2.11.5.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.