Flask : nouvelle vulnérabilité de divulgation d'information via le système de cache
Une vulnérabilité a été découverte dans Flask, le framework web Python populaire, permettant à un attaquant de contourner les restrictions d'accès aux données via le mécanisme de mise en cache.
Publié 8sem·1 média·Notable
≈ 30s
Le fait
Cette faille affecte les applications utilisant le système de cache par défaut de Flask et peut exposer des informations sensibles.
Une correction est recommandée pour tous les déploiements utilisant cette fonctionnalité de cache.
Deux vulnérabilités ont été identifiées dans le cœur de Python : l'une permet à un attaquant de contourner les restrictions d'accès en écriture via des caractères de contrôle dans Wsgiref, l'autre provoque un déni de service par manipulation de contenu XML.
Deux failles sévères ont été découvertes dans les bibliothèques Python : une contournement de contrôle d'accès dans Cryptography et une surcharge de système dans pypdf.
Deux vulnérabilités distinctes ont été identifiées dans la bibliothèque pyOpenSSL, permettant à un attaquant de contourner les règles de filtrage entrant et de provoquer un débordement de buffer.