CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-27641

Critical
Published: Translated: NVD NIST

Summary

Flask-Reuploaded umożliwia przesyłanie plików dla Flask. Wersje przed 1.5.0 zawierają krytyczną podatność na przejście ścieżki i obejście rozszerzenia, co pozwala zdalnym atakującym na zapis dowolnych plików oraz zdalne wykonanie kodu poprzez wstrzykiwanie szablonów po stronie serwera (SSTI).

Risk Assessment

Podatność ta stwarza poważne zagrożenie dla bezpieczeństwa aplikacji, umożliwiając atakującym zdalne wykonanie kodu i manipulację plikami na serwerze.

Recommendation

Zaleca się aktualizację do wersji 1.5.0 lub nowszej. Należy unikać przekazywania danych użytkownika do parametru `name`, stosować tylko automatycznie generowane nazwy plików oraz wdrożyć rygorystyczną walidację wejścia, jeśli `name` musi być używane.

Original NVD description (English source)

Flask-Reuploaded provides file uploads for Flask. A critical path traversal and extension bypass vulnerability in versions prior to 1.5.0 allows remote attackers to achieve arbitrary file write and remote code execution through Server-Side Template Injection (SSTI). Flask-Reuploaded has been patched in version 1.5.0. Some workarounds are available. Do not pass user input to the `name` parameter, use auto-generated filenames only, and implement strict input validation if `name` must be used.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS