CVE-2024-25128: 認証偽造の脆弱性 in Flask-AppBuilder

この脆弱性を悪用されると、攻撃者は不正なOpenIDサービスを配置し、Flask-AppBuilderアプリケーションのバックエンドにアクセスさせることが可能になります。これにより、攻撃者は認証をバイパスし、システム内の機密情報へのアクセスや、不正な操作を実行できる可能性があります。特に、カスタムOpenIDサービスを導入している環境では、攻撃のリスクが高まります。OpenIDプロトコルを介した機密データの漏洩や、システム制御の奪取といった深刻な被害につながる可能性があります。

Organizations deploying Flask-AppBuilder with the AUTHTYPE AUTHOID authentication method are at significant risk. This includes applications utilizing custom OpenID providers or those deployed in environments where attackers can potentially control external services. Shared hosting environments where multiple applications share the same Flask-AppBuilder instance are also particularly vulnerable.

• python / flask: Inspect Flask-AppBuilder configuration for AUTHTYPE AUTHOID. Monitor application logs for unusual OpenID authentication requests.

# Example: Check Flask-AppBuilder configuration
import os
appbuilder_config = os.environ.get('FLASK_APPBUILDER_CONFIG', '')
if 'auth_type' in appbuilder_config.lower() and 'auth_oid' in appbuilder_config.lower():
    print('Potential vulnerability: AUTH_TYPE AUTH_OID detected')

• generic web: Monitor access logs for requests to OpenID endpoints with unusual parameters. Check response headers for unexpected redirects. • database (mysql, postgresql): If Flask-AppBuilder uses a database for storing user credentials, review database queries for suspicious authentication patterns.

1. 2024-02-28Disclosure

   disclosure

1. 予約済み2024-02-05
2. 公開日2024-02-28
3. 更新日2024-08-26
4. EPSS 更新日2026-04-02

最も効果的な対策は、Flask-AppBuilderをバージョン4.3.11にアップグレードすることです。アップグレードが困難な場合は、AUTHTYPEをAUTHOIDから別の認証方式に変更することを検討してください。また、WAF（Web Application Firewall）を導入し、OpenID認証に関連する不正なリクエストを検知・遮断するルールを設定することも有効です。OpenIDサービスのセキュリティ設定を強化し、信頼できるサービスのみを使用するように制限することも重要です。アップグレード後、OpenID認証が正常に機能していることを確認してください。