Podatność w Unfurl (przez wersję 2025.08) polega na nieprawidłowej walidacji danych wejściowych podczas parsowania konfiguracji, co powoduje domyślne włączenie trybu debug Flask. Umożliwia to atakującemu dostęp do debuggera Werkzeug i wykonanie dowolnego kodu zdalnie (RCE) lub ujawnienie wrażliwych informacji.
▸ Pokaż oryginał (EN)
Unfurl through 2025.08 contains an improper input validation vulnerability in config parsing that enables Flask debug mode by default. The debug configuration value is read as a string and passed directly to app.run(), causing any non-empty string to evaluate truthy, allowing attackers to access the Werkzeug debugger and disclose sensitive information or achieve remote code execution.
Wartość konfiguracyjna odpowiedzialna za tryb debug jest odczytywana jako ciąg znaków (string) i przekazywana bezpośrednio do funkcji app.run(). W języku Python każdy niepusty ciąg znaków jest traktowany jako wartość logiczna prawda (truthy), niezależnie od jego treści — nawet wartość 'false' przekazana jako string włączy tryb debug. W rezultacie Flask uruchamia się z aktywnym debuggerem Werkzeug, który jest dostępny sieciowo bez żadnego uwierzytelnienia. Atakujący uzyskuje dostęp do interaktywnej konsoli debuggera, pozwalającej na wykonanie dowolnego kodu Python w kontekście aplikacji.
Atakujący bez żadnego uwierzytelnienia może wykonać dowolny kod na serwerze (RCE) lub uzyskać dostęp do wrażliwych informacji przetwarzanych przez aplikację.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (GitHub Security Advisory GHSA-vg9h-jx4v-cwx2). Jako obejście należy upewnić się, że w konfiguracji wartość trybu debug jest przekazywana jako typ boolowski, a nie ciąg znaków, oraz że debugger Werkzeug nie jest wystawiony na ruch sieciowy (np. przez ograniczenie dostępu na poziomie firewall).
Ryandfir Unfurl w wersjach przez 2025.08 włącznie
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XRyandfir Unfurl
APPRyandfir≤ 2025.08