CVE-2026-40035
KrytyczneStreszczenie
Unfurl w wersji 2025.08 zawiera podatność na niewłaściwą walidację wejścia w analizie konfiguracji, która domyślnie włącza tryb debugowania Flask. Wartość konfiguracji debugowania jest odczytywana jako ciąg znaków i przekazywana bezpośrednio do app.run(), co pozwala na ocenę każdej niepustej wartości jako prawdziwej.
Ocena ryzyka
Atakujący mogą uzyskać dostęp do debuggera Werkzeug, co może prowadzić do ujawnienia wrażliwych informacji lub zdalnego wykonania kodu. To stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych organizacji.
Rekomendacja
Zaleca się, aby administratorzy wyłączyli tryb debugowania w środowisku produkcyjnym oraz przeprowadzili przegląd konfiguracji aplikacji, aby upewnić się, że nie są narażeni na tę podatność.
Oryginalny opis (angielski, źródło NVD)
Unfurl through 2025.08 contains an improper input validation vulnerability in config parsing that enables Flask debug mode by default. The debug configuration value is read as a string and passed directly to app.run(), causing any non-empty string to evaluate truthy, allowing attackers to access the Werkzeug debugger and disclose sensitive information or achieve remote code execution.

