Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en la URL en el parámetro de consulta ?next en el paquete Python "Flask-Security-Too" (CVE-2021-32618)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-601 Redireccionamiento de URL a sitio no confiable (Open Redirect)
Fecha de publicación:
17/05/2021
Última modificación:
26/05/2021

Descripción

El paquete Python "Flask-Security-Too" es usado para añadir características de seguridad a su aplicación Flask. Es una versión mantenida independientemente de Flask-Security basada en la versión 3.0.0 de Flask-Security. Todas las versiones de Flask-Security-Too permiten redirecciones después de muchas visualizaciones con éxito (por ejemplo, /login) al honrar al parámetro de consulta ?next. Se presenta un código en FS para comprobar que la url especificada en el siguiente parámetro next es relativa O presenta la misma netloc (ubicación de red) que la URL pedida. Esta comprobación usa la biblioteca Python urlsplit. Sin embargo, muchos navegadores son muy indulgentes con el tipo de URL que aceptan y "fill in the blanks" cuando se les presenta una URL posiblemente incompleta. Como ejemplo concreto - ajustando http://login?next=\\github.com pasará la comprobación de URLs relativas de FS sin embargo muchos navegadores convertirán gustosamente esto en http://github.com. Por lo tanto, un atacante podría enviar dicho enlace a un usuario involuntario, usando un sitio legítimo y hacer que se redirija a cualquier sitio que desee. Esto se considera de baja gravedad debido al hecho de que si es usado Werkzeug (que es muy común con las aplicaciones Flask) como la capa WSGI, por defecto SIEMPRE asegura que la cabecera Location es absoluta - haciendo así este vector de ataque mudo. Es posible para los escritores de aplicaciones modificar este comportamiento por defecto estableciendo el parámetro "autocorrect_location_header=False"

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Vector 2.0
AV:N/AC:M/Au:N/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno

Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:flask-security_project:flask-security:*:*:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información