CWE-601 URL REDIRECTION TO UNTRUSTED SITE:
このパッケージの影響を受けるバージョンはOpen Redirectに対して脆弱です。 make_safe_url 関数を使用する場合、URL 検証をバイパスして、/////evil.com/path や \\\\ などの複数のバックスラッシュを提供することで、任意の URL にユーザをリダイレクトすることができます evil.com/path 。 この脆弱性は、Werkzeug 以外の代替 WSGI サーバーが使用されている場合、または Werkzeug のデフォルト動作が 'autocorrect_location_header=False' を使用して変更されている場合のみ悪用できます。
続きを読む: 勉強する URL 解析する 混乱する勉強する
Team82 は、世界中のサイバーセキュリティエコシステムの安全性を確保するために、影響を受けるベンダーに、調整されたタイムリーな方法で脆弱性を個人的に報告することにコミットしています。 ベンダーおよび研究コミュニティと関わりを持つために、 Team82 は、当社の協調的開示ポリシーをダウンロードして共有するようお客様にお願いしています。Team82 は、製品およびサービスの脆弱性を発見した場合、この報告および開示プロセスに従います。
