یک آسیبپذیری با شناسه CVE-2023-52288 در بستهflaskcode شناسایی شده است که امکان پیمایش دایرکتوری از طریق ارسال درخواست GET به /resource-data/<file_path>.txt URI (from views.py) را برای مهاجم احراز هویت نشده فراهم میآورد. در این آسیبپذیری مهاجم میتواند فایل دلخواه خود را بخواند.
آسیبپذیری دیگری نیز با شناسه CVE-2023-52289 8.4 در بسته flaskcode شناسایی شده است که امکان پیمایش دایرکتوری از طریق ارسال درخواست POST به /update-resource-data/<file_path> URI (from views.py) را برای مهاجم احراز هویت نشده فراهم میآورد. در این آسیبپذیری مهاجم میتواند در فایل دلخواه خود بنویسد.
محصولات تحت تأثیر
این آسیبپذیری در Python، بسته flaskcode نسخه 0.0.8 را تحت تأثیر قرار میدهد.
توصیههای امنیتی
پایتون هنوز وصلهایی برای بسته flaskcode منتشر نکرده است. به کاربران توصیه میشود به محض انتشار راهکار و وصله امنیتی در اسرع وقت نسبت به ارتقاء flaskcode package به آخرین نسخهی منتشرشده اقدام نمایند.
منبع خبر:
- 41