したがって、ALAS2023-2024-662 のアドバイザリに記載されている脆弱性の影響を受けます。

    Werkzeug は、包括的な WSGI Web アプリケーションライブラリです。影響を受ける Werkzeug のバージョンのデバッガーは、特定の状況下で攻撃者が開発者のマシンでコードを実行できる可能性があります。これには、攻撃者が開発者に操作させ、攻撃者がコントロールするドメインとサブドメインに対してデバッガー PIN を入力させる必要がありますが、仮に成功すれば、それがローカルホスト上で実行されている場合でもデバッガーへのアクセスが許可されます。
    また、これには攻撃者が開発者のアプリケーション内でデバッガーを引き起こす可能性のある URL を推測する必要もあります。この脆弱性は 3.0.3 で修正されました。(CVE-2024-34069)

Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Amazon Linux 2023 : python3-werkzeug (ALAS2023-2024-662)

high Nessus プラグイン ID 202910

バージョン 1.3