CVE-2025-24023

چکیده

یک آسیب‌پذیری در dpgaspar Flask-AppBuilder تا نسخه 4.5.2 شناسایی شده است. این آسیب‌پذیری منجر به تفاوت قابل ملاحظه ای در پاسخ‌های سرور می‌شود. این مشکل با شناسه CVE-2025-24023 ثبت شده است. مهاجم می‌تواند از راه دور حمله را اجرا کند. توصیه می‌شود که به نسخه جدیدتر ارتقا داده شود.

توضیحات

این آسیب‌پذیری در Flask-AppBuilder تا نسخه 4.5.2 وجود دارد و باعث افشای اطلاعات داخلی از طریق پاسخ‌های متفاوت سرور می‌شود.

طبق تعریف CWE-204، این مشکل زمانی رخ می‌دهد که محصول به درخواست‌های ورودی، پاسخ‌های متفاوتی ارائه می‌کند که می‌تواند اطلاعات داخلی سیستم را برای افراد غیرمجاز فاش کند. این آسیب‌پذیری بر محرمانگی (Confidentiality) داده‌ها تأثیر دارد.

طبق توضیحات CVE، نسخه‌های قبل از 4.5.3 از Flask-AppBuilder به کاربران غیرمجاز اجازه می‌دهد تا با بررسی زمان پاسخ سرور هنگام ارسال درخواست‌های brute-force به صفحه ورود، نام‌های کاربری موجود را شناسایی کنند. این مشکل در نسخه 4.5.3 برطرف شده است.

اکسپلویت این آسیب‌پذیری دشوار است، اما می‌تواند از راه دور انجام شود و نیازی به احراز هویت ندارد.

MITRE ATT&CK این نوع حمله را تحت تکنیک T1592 دسته‌بندی کرده است.

CVSS

 لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

برای جلوگیری از نفوذ از نسخه بروزرسانی شده استفاده کنید.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-24023
2. https://www.cvedetails.com/cve/CVE-2025-24023/
3. https://github.com/dpgaspar/Flask-AppBuilder/security/advisories/GHSA-p8q5-cvwx-wvwp
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-24023
5. https://vuldb.com/?id.298363
6. https://nvd.nist.gov/vuln/detail/CVE-2025-24023
7. https://cwe.mitre.org/data/definitions/204.html