USN-7612-1: Sicherheitslücken in Flask-CORS

USN-7612-1: Flask-CORS-Schwachstellen
Veröffentlichungsdatum: 2. Juli 2025
Überblick: Einige Sicherheitsprobleme wurden in Flask-CORS behoben.

Pakete

• python-flask-cors - Flask-Erweiterung zur Handhabung von Cross Origin Resource Sharing (CORS)

Details
Es wurde entdeckt, dass Flask-CORS bestimmte reguläre Ausdrücke nicht korrekt
Ausdrücke behandelt. Ein entfernter Angreifer könnte dieses Problem möglicherweise ausnutzen, um
Informationen ausspähen oder Authentifizierungsmechanismen aushebeln. (CVE-2024-6839)
Es wurde entdeckt, dass Flask-CORS es erlaubte, bestimmte CORS-Header
standardmäßig aktiviert sind. Ein entfernter Angreifer könnte dieses Problem möglicherweise ausnutzen, um
Informationen ausspähen. Dieses Problem betraf nur Ubuntu 20.04 LTS, Ubuntu
22.04 LTS, Ubuntu 24.04 LTS und Ubuntu 24.10. (CVE-2024-6221) Es wurde
entdeckt, dass Flask-CORS die Groß-/Kleinschreibung beim Abgleich von Pfaden nicht korrekt
Pfade abgleicht. Ein entfernter Angreifer könnte dieses Problem möglicherweise ausnutzen, um
Informationen ausspähen. (CVE-2024-6866) Es wurde festgestellt, dass Flask-CORS
bestimmte Zeichen in URL-Pfaden nicht korrekt behandelte. Ein entfernter Angreifer
Angreifer könnte dieses Problem möglicherweise ausnutzen, um vertrauliche Informationen preiszugeben oder
Authentifizierungsmechanismen zu umgehen. (CVE-2024-6844) Elias Hohl wurde festgestellt, dass
Flask-CORS die Log-Einträge nicht korrekt bereinigt hat. Ein entfernter Angreifer könnte
Angreifer könnte dieses Problem möglicherweise ausnutzen, um Protokolldateien zu beschädigen. Dieses Problem betraf nur
Ubuntu 20.04 LTS, Ubuntu 22.04 LTS und Ubuntu 24.04 LTS. (CVE-2024-1681)

Anweisungen zum Update

• 25.04 : plucky python3-flask-cors - 5.0.0-1ubuntu0.1
• 24.10: oracular python3-flask-cors - 4.0.1-1ubuntu0.1
• 24.04: noble python3-flask-cors - 4.0.0-1ubuntu0.1~esm1
• 22.04: jammy python3-flask-cors - 3.0.9-2ubuntu0.1
• 20.04: focal python3-flask-cors - 3.0.8-2ubuntu0.1+esm1