CVE-2026-40035: Kritische Sicherheitslücke in Flask-Anwendungen
⚠️ CVE-Referenzen:
CVE-2026-40035
Zusammenfassung
Eine Sicherheitslücke in der Konfigurationsverarbeitung des Unfurl-Frameworks ermöglicht es Angreifern, den Flask-Debugger standardmäßig zu aktivieren. Dadurch können sensible Informationen preisgegeben oder sogar Remotecodeausführung erreicht werden. Betroffen sind Anwendungen, die das Unfurl-Framework nutzen und keine angemessene Eingabevalidierung implementiert haben.
Unfurl through 2025.08 contains an improper input validation vulnerability in config parsing that enables Flask debug mode by default. The debug configuration value is read as a string and passed directly to app.run(), causing any non-empty string to evaluate truthy, allowing attackers to access the Werkzeug debugger and disclose sensitive information or achieve remote code execution.
Quelle: app.opencve.io