Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Flask は、Web サーバーゲートウェイインターフェイスWSGIWeb アプリケーションフレームワークです。バージョン 3.1.2 以降では、セッションオブジェクトにアクセスするときに、Flask が Vary: Cookie ヘッダーを設定する必要があります。これにより、機密情報が含まれているキャッシュ使用の脆弱性が発生します。ログインユーザーに固有の情報が含まれている可能性があるため、ロジックは に、応答をキャッシュしないように指示します。ほとんどの場合、これは処理されますが、演算子の Python などの一部の形式のアクセスが見落とされていました。重要度とリスクは、クッキー付きの応答を無視しないキャッシングプロキシの背後でホストされているアプリケーション、ページをプライベートまたはキャッシュ不可としてマークするために Cache-Control ヘッダーを設定しない、および が通信するだけでセッションにアクセスできる方法に依存します。値を読み取ったりセッションを変化させたりすることなく、キーを生成します。この問題は、バージョン 3.1.3で修正されています。CVE-2026-27205

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-27205

low Nessus プラグイン ID 299724

バージョン 1.3