Unfurl до 2025.08 содержит уязвимость неправильной проверки ввода при анализе конфигурации, которая по умолчанию включает режим отладки Flask. Значение конфигурации отладки считывается как строка и передается непосредственно в app.run(), в результате чего любая непустая строка оценивается как правдивая, позволяя злоумышленникам получить доступ к отладчику Werkzeug и раскрыть конфиденциальную информацию или добиться удаленного выполнения кода.
Показать оригинальное описание (EN)
Unfurl through 2025.08 contains an improper input validation vulnerability in config parsing that enables Flask debug mode by default. The debug configuration value is read as a string and passed directly to app.run(), causing any non-empty string to evaluate truthy, allowing attackers to access the Werkzeug debugger and disclose sensitive information or achieve remote code execution.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Ryandfir Unfurl
cpe:2.3:a:ryandfir:unfurl:*:*:*:*:*:*:*:*
|
— |
<= 2025.08
|