Plataforma
python
Componente
flask-appbuilder
Corregido en
4.3.12
La vulnerabilidad CVE-2024-25128 afecta a Flask-AppBuilder, un framework de desarrollo de aplicaciones construido sobre Flask. Cuando se utiliza el tipo de autenticación AUTH_OID, un atacante puede forjar solicitudes HTTP, engañando al backend para que utilice un servicio OpenID personalizado controlado por el atacante. Esto podría resultar en un acceso no autorizado a privilegios si el atacante despliega un servicio OpenID y este es accesible por el backend. La vulnerabilidad afecta a versiones de Flask-AppBuilder menores o iguales a 4.3.11 y se soluciona con la actualización a la versión 4.3.11.
Esta vulnerabilidad permite a un atacante comprometer la seguridad de la aplicación Flask-AppBuilder al obtener acceso no autorizado. El atacante puede forjar una solicitud HTTP que el backend interpretará como legítima, permitiéndole autenticarse utilizando un servicio OpenID controlado por el atacante. Esto podría dar al atacante acceso a datos sensibles, la capacidad de modificar la configuración de la aplicación, o incluso ejecutar código malicioso en el servidor. El riesgo se agrava si la aplicación utiliza OpenID 2.0 para la autenticación, ya que facilita la manipulación de las solicitudes de autenticación. Un ataque exitoso podría resultar en una brecha de datos significativa y la pérdida de control sobre la aplicación.
La vulnerabilidad CVE-2024-25128 fue publicada el 28 de febrero de 2024. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos al momento de la publicación. Sin embargo, la naturaleza de la vulnerabilidad, que permite la forja de solicitudes HTTP, la convierte en un objetivo potencial para actores maliciosos. La disponibilidad de un PoC podría aumentar significativamente el riesgo de explotación.
Organizations deploying Flask-AppBuilder with the AUTHTYPE AUTHOID authentication method are at significant risk. This includes applications utilizing custom OpenID providers or those deployed in environments where attackers can potentially control external services. Shared hosting environments where multiple applications share the same Flask-AppBuilder instance are also particularly vulnerable.
• python / flask: Inspect Flask-AppBuilder configuration for AUTHTYPE AUTHOID. Monitor application logs for unusual OpenID authentication requests.
# Example: Check Flask-AppBuilder configuration
import os
appbuilder_config = os.environ.get('FLASK_APPBUILDER_CONFIG', '')
if 'auth_type' in appbuilder_config.lower() and 'auth_oid' in appbuilder_config.lower():
print('Potential vulnerability: AUTH_TYPE AUTH_OID detected')• generic web: Monitor access logs for requests to OpenID endpoints with unusual parameters. Check response headers for unexpected redirects. • database (mysql, postgresql): If Flask-AppBuilder uses a database for storing user credentials, review database queries for suspicious authentication patterns.
disclosure
Estado del Exploit
EPSS
0.96% (76% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-25128 es actualizar Flask-AppBuilder a la versión 4.3.11 o superior. Si la actualización no es inmediatamente posible, se recomienda deshabilitar temporalmente el tipo de autenticación AUTH_OID hasta que se pueda aplicar la actualización. Además, se recomienda revisar y fortalecer la configuración de OpenID, asegurándose de que solo se utilicen servicios OpenID confiables y autorizados. Implementar reglas en un Web Application Firewall (WAF) para detectar y bloquear solicitudes HTTP sospechosas que intenten manipular el proceso de autenticación OpenID puede proporcionar una capa adicional de protección. La verificación de la integridad de la aplicación después de la actualización es crucial para confirmar que la vulnerabilidad ha sido resuelta.
Actualice Flask-AppBuilder a la versión 4.3.11 o superior. Esta versión corrige la vulnerabilidad de autenticación incorrecta al usar el tipo de autenticación OpenID. La actualización se puede realizar utilizando el gestor de paquetes pip: `pip install Flask-AppBuilder==4.3.11`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-25128 es una vulnerabilidad crítica en Flask-AppBuilder que permite a un atacante forjar solicitudes HTTP para obtener acceso no autorizado a través de la autenticación OpenID, afectando versiones menores o iguales a 4.3.11.
Si está utilizando Flask-AppBuilder en una versión menor o igual a 4.3.11 y ha configurado el tipo de autenticación AUTH_OID, es probable que esté afectado por esta vulnerabilidad.
La solución es actualizar Flask-AppBuilder a la versión 4.3.11 o superior. Si no es posible, desactive temporalmente AUTH_OID.
Al momento de la publicación, no se han reportado exploits públicos activos, pero la vulnerabilidad es un objetivo potencial para actores maliciosos.
Consulte el sitio web oficial de Flask-AppBuilder o su repositorio de GitHub para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.