Vulnerabilidad en Flask de The Pallets Project (CVE-2018-1000656)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
20/08/2018
Última modificación:
09/06/2020
Descripción
Flask de The Pallets Project en versiones anteriores a la 0.12.3 contiene una vulnerabilidad CWE-20: Validación de entradas incorrecta en flask que puede dar lugar al uso de una gran cantidad de memoria, posiblemente conduciendo a una denegación de servicio (DoS). Este ataque parece ser explotable si el atacante proporciona datos JSON en la codificación incorrecta. La vulnerabilidad parece haber sido solucionada en la versión 0.12.3.NOTA: esto puede superponerse a CVE-2019-1010083.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:palletsprojects:flask:*:*:*:*:*:*:*:* | 0.12.3 (excluyendo) | |
| cpe:2.3:a:netapp:active_iq:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:hyper_converged_infrastructure:*:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:ontap_select_deploy_utility:*:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página