Debian dla-4197python3-flask-cors - 安全更新

medium Nessus 插件 ID 237621

语言：

简介

远程 Debian 主机上缺少一个或多个与安全相关的更新。

描述

远程 Debian 11 主机上存在安装的程序包该程序包受到 dla-4197 公告中提及的多个漏洞的影响。

-------------------------------------------------- ----------------------- Debian LTS 公告 DLA-4197-1 [email protected] https://www.debian.org/lts/security/Daniel Leidert 2025 年 5 月 31 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

程序包python-flask-cors 版本3.0.9-2+deb11u1 CVE ID CVE-2024-1681 CVE-2024-6839 CVE-2024-6844 CVE-2024-6866 Debian 缺陷10697641100988

在用于处理跨源资源共享 (CORS) 的 Flask 扩展 Flask-CORS 中发现多个安全问题。

CVE-2024-1681

由于将日志级别设置为调试时的日志注入漏洞攻击者可通过发送在请求路径中包含 CRLF 序列的特别构建的 GET 请求将假的日志条目注入到日志文件中。

CVE-2024-6839

一个不正确的 regex 路径匹配漏洞这是因为在匹配路径时优先考虑更长的 regex 模式而不是更具体的模式可导致限制较少的 CORS 策略应用于敏感端点。

CVE-2024-6844

由于 URL 路径中的“+”字符的处理导致的 CORS 匹配不一致导致错误的路径规范化从而造成 CORS 配置潜在的不匹配。

CVE-2024-6866

请求路径匹配不区分大小写。这会导致不匹配因为 URL 中的路径区分大小写。此错误配置可导致重大安全漏洞，允许未经授权的来源访问本应受到限制的路径。

对于 Debian 11 Bullseye这些问题已在 3.0.9-2+deb11u1 版本中修复。

我们建议您升级 python-flask-cors 程序包。

有关 python-flask-cors 的详细安全状态请参阅其安全跟踪页面网址
https://security-tracker.debian.org/tracker/python-flask-cors

有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTSAttachment:signature.ascDescription: 此消息部分已经过数字签署

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。