← volver
CVE-2021-29621

Observable Response Discrepancy in Flask-AppBuilder

CVSS 5.3 MEDIUMEPSS 3.4%CWE-203
En resumen

Flask-AppBuilder permite que usuarios no autenticados descubran qué cuentas existen en el sistema midiendo el tiempo de respuesta de la página de login. El servidor responde diferente para nombres de usuario válidos e inválidos, filtrando información sin necesidad de contraseña.

Detalle técnico

Una vulnerabilidad de timing side-channel en la autenticación por base de datos de Flask-AppBuilder (versiones ≤ 3.2.3) permite enumeración de usuarios sin autenticación a través de discrepancias en el tiempo de respuesta. Un atacante puede distinguir entre nombres de usuario válidos e inválidos analizando los tiempos de respuesta del login, facilitando ataques de fuerza bruta. La actualización a versión 3.3.0 o superior resuelve el problema.

Resumen generado y traducido por IA a partir de la descripción oficial.
Flask-AppBuilder is a development framework, built on top of Flask. User enumeration in database authentication in Flask-AppBuilder <= 3.2.3. Allows for a non authenticated user to enumerate existing accounts by timing the response time from the server when you are logging in. Upgrade to version 3.3.0 or higher to resolve.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Productos afectados
dpgaspar · Flask-AppBuilder

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/dpgaspar/Flask-AppBuilder/commit/780bd0e8fbf2d36ada52edb769477e0a4edae580https://github.com/dpgaspar/Flask-AppBuilder/security/advisories/GHSA-434h-p4gx-jm89https://lists.apache.org/thread.html/r466759f377651f0a690475d5a52564d0e786e82c08d5a5730a4f8352%40%3Cannounce.apache.org%3Ehttps://lists.apache.org/thread.html/r5b754118ba4e996adf03863705d34168bffec202da5c6bdc9bf3add5%40%3Cannounce.apache.org%3Ehttps://lists.apache.org/thread.html/r91067f953906d93aaa1c69fe2b5472754019cc6bd4f1ba81349d62a0%40%3Ccommits.airflow.apache.org%3Ehttps://pypi.org/project/Flask-AppBuilder/