CVE-2023-34110
NiskieCVSS 2.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 41 — wyżej niż 41% wszystkich znanych CVE
Streszczenie
Flask-AppBuilder to framework do tworzenia aplikacji, który przed wersją 4.3.2 miał podatność umożliwiającą uwierzytelnionemu atakującemu z uprawnieniami administratora wywołanie błędu bazy danych poprzez dodanie specjalnego znaku w formularzach dodawania lub edytowania użytkowników. Błąd ten mógł ujawniać cały wiersz użytkownika, w tym hasło w postaci haszowanej.
Ocena ryzyka
Organizacja może być narażona na ujawnienie wrażliwych danych użytkowników, w tym haseł, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników.
Rekomendacja
Zaleca się aktualizację do wersji 4.3.2 lub nowszej, aby usunąć tę podatność oraz przegląd zabezpieczeń aplikacji.
Oryginalny opis (angielski, źródło NVD)
Flask-AppBuilder is an application development framework, built on top of Flask. Prior to version 4.3.2, an authenticated malicious actor with Admin privileges, could by adding a special character on the add, edit User forms trigger a database error, this error is surfaced back to this actor on the UI. On certain database engines this error can include the entire user row including the pbkdf2:sha256 hashed password. This vulnerability has been fixed in version 4.3.2.

