BDU:2024-00063
Matt Wright, ООО «Ред Софт» Flask-Security-Too, РЕД ОС
Дата обнаружения
2023-12-15
Официальное описание
Уязвимость средства управления безопасностью Flask-Security-Too связана с переадресацией URL на ненадежный сайт при обработке параметра запроса «next». Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, перенаправить пользователя на произвольный URL-адрес
🛡️
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Компенсирующие меры: Используйте следующие конфигуративные настройки: app.config['SECURITY_REDIRECT_VALIDATE_MODE'] = "regex" app.config['SECURITY_REDIRECT_VALIDATE_RE'] = r"^/{4,}|\{3,}|[\s\000-\037][/\]{2,}(?![/\])|/\[/\]."
Обновление программного обеспечения Flask-Security-Too до версии 5.3.3 и выше
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/