Kritische Sicherheitslücke in Flask-Reuploaded - CVE-2026-27641
⚠️ CVE-Referenzen:
CVE-2026-27641
Zusammenfassung
Eine kritische Schwachstelle in Flask-Reuploaded, einem Dateiupload-Modul für Flask, ermöglicht es Angreifern durch Path Traversal und Extension Bypass Remote Code Execution zu erlangen. Betroffen sind Versionen vor 1.5.0. Patches sind verfügbar, aber bis dahin sollte man Benutzereingaben im `name`-Parameter vermeiden und strikte Eingabevalidierung implementieren.
Flask-Reuploaded provides file uploads for Flask. A critical path traversal and extension bypass vulnerability in versions prior to 1.5.0 allows remote attackers to achieve arbitrary file write and remote code execution through Server-Side Template Injection (SSTI). Flask-Reuploaded has been patched in version 1.5.0. Some workarounds are available. Do not pass user input to the `name` parameter, use auto-generated filenames only, and implement strict input validation if `name` must be used.
Quelle: app.opencve.io