Le package Python ""Flask-Security-Too"" est utilisé pour ajouter des fonctions de sécurité à votre application Flask. Il est est une version indépendante maintenue de Flask-sécurité basée sur la version 3.0.0 de Flask-sécurité. Dans Flask-Security-Too de la version 3.3.0 et avant la version 3.4.5, le / login et / points d’extrémité de changement peut retourner l’authentification de l’utilisateur authentifié jeton en réponse à une requête GET. Étant donné que les requêtes GET ne sont pas protégées par un jeton CSRF, cela pourrait conduire à un site 3ème tiers malveillant acquérir le jeton d’authentification. Version 3.4.5 et la version 4.0.0 sont patchés. Pour contourner ce problème, si vous n’utilisez pas des jetons d’authentification – vous pouvez définir le SECURITY_TOKEN_MAX_AGE à « 0 » (secondes) qui devrait rendre le jeton inutilisable.
https://github.com/Flask-Middleware/flask-security/security/advisories/GHSA-hh7m-rx4f-4vpv
https://github.com/Flask-Middleware/flask-security/security/advisories/GHSA-hh7m-rx4f-4vpv
https://github.com/Flask-Middleware/flask-security/commit/61d313150b5f620d0b800896c4f2199005e84b1f
https://github.com/Flask-Middleware/flask-security/commit/61d313150b5f620d0b800896c4f2199005e84b1f
https://github.com/Flask-Middleware/flask-security/commit/6d50ee9169acf813257c37b75babe9c28e83542a
https://github.com/Flask-Middleware/flask-security/commit/6d50ee9169acf813257c37b75babe9c28e83542a
https://github.com/Flask-Middleware/flask-security/pull/422
https://github.com/Flask-Middleware/flask-security/pull/422
https://github.com/Flask-Middleware/flask-security/releases/tag/3.4.5
https://github.com/Flask-Middleware/flask-security/releases/tag/3.4.5
https://pypi.org/project/Flask-Security-Too
https://pypi.org/project/Flask-Security-Too
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21241
