CRITICAL🇬🇧 English

CVE-2026-40035

Unfurl: błąd parsowania konfiguracji umożliwia RCE przez debugger Werkzeug

CVSS 9.3v4.0pub. 2026-04-08upd. 2026-04-17

Podatność w Unfurl (przez wersję 2025.08) polega na nieprawidłowej walidacji danych wejściowych podczas parsowania konfiguracji, co powoduje domyślne włączenie trybu debug Flask. Umożliwia to atakującemu dostęp do debuggera Werkzeug i wykonanie dowolnego kodu zdalnie (RCE) lub ujawnienie wrażliwych informacji.

Pokaż oryginał (EN)

Unfurl through 2025.08 contains an improper input validation vulnerability in config parsing that enables Flask debug mode by default. The debug configuration value is read as a string and passed directly to app.run(), causing any non-empty string to evaluate truthy, allowing attackers to access the Werkzeug debugger and disclose sensitive information or achieve remote code execution.

🤖 Analiza AI
Jak działa

Wartość konfiguracyjna odpowiedzialna za tryb debug jest odczytywana jako ciąg znaków (string) i przekazywana bezpośrednio do funkcji app.run(). W języku Python każdy niepusty ciąg znaków jest traktowany jako wartość logiczna prawda (truthy), niezależnie od jego treści — nawet wartość 'false' przekazana jako string włączy tryb debug. W rezultacie Flask uruchamia się z aktywnym debuggerem Werkzeug, który jest dostępny sieciowo bez żadnego uwierzytelnienia. Atakujący uzyskuje dostęp do interaktywnej konsoli debuggera, pozwalającej na wykonanie dowolnego kodu Python w kontekście aplikacji.

Skutki

Atakujący bez żadnego uwierzytelnienia może wykonać dowolny kod na serwerze (RCE) lub uzyskać dostęp do wrażliwych informacji przetwarzanych przez aplikację.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (GitHub Security Advisory GHSA-vg9h-jx4v-cwx2). Jako obejście należy upewnić się, że w konfiguracji wartość trybu debug jest przekazywana jako typ boolowski, a nie ciąg znaków, oraz że debugger Werkzeug nie jest wystawiony na ruch sieciowy (np. przez ograniczenie dostępu na poziomie firewall).

Kogo dotyczy

Ryandfir Unfurl w wersjach przez 2025.08 włącznie

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Ryandfir Unfurl

    APP
    Ryandfir
    ≤ 2025.08
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-40036HIGH8.7ten sam produkt

Unfurl before 2026.04 contains an unbounded zlib decompression vulnerability in parse_compressed.py that allow...