Katalog CVE

CVE-2026-35490

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W narzędziu do wykrywania zmian na stronach internetowych changedetection.io, przed wersją 0.54.8, dekorator @login_optionally_required był umieszczony przed dekoratorem @blueprint.route(). W Flask dekorator @route() powinien być zewnętrznym dekoratorem, co w tym przypadku powodowało, że funkcja nie była odpowiednio zabezpieczona.

Ocena ryzyka

Brak odpowiedniej autoryzacji na trasach może prowadzić do nieautoryzowanego dostępu do chronionych zasobów, co stanowi poważne zagrożenie dla bezpieczeństwa aplikacji.

Rekomendacja

Zaleca się aktualizację do wersji 0.54.8 lub nowszej, aby przywrócić prawidłową kolejność dekoratorów i zapewnić odpowiednią autoryzację na trasach.

Oryginalny opis (angielski, źródło NVD)

changedetection.io is a free open source web page change detection tool. Prior to 0.54.8, the @login_optionally_required decorator is placed before (outer to) @blueprint.route() instead of after it. In Flask, @route() must be the outermost decorator because it registers the function it receives. When the order is reversed, @route() registers the original undecorated function, and the auth wrapper is never in the call chain. This silently disables authentication on these routes. This vulnerability is fixed in 0.54.8.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS