PYSEC-2026-1378

See a problem?
Import Source
https://github.com/pypa/advisory-database/blob/main/vulns/flask-appbuilder/PYSEC-2026-1378.yaml
JSON Data
https://api.osv.dev/v1/vulns/PYSEC-2026-1378
Aliases
Published
2026-07-07T16:03:04.816469Z
Modified
2026-07-07T17:47:36.750744745Z
Severity
  • 6.5 (Medium) CVSS_V3 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVSS Calculator
Summary
Flask App Builder has an Authentication Bypass vulnerability when using non AUTH_DB methods
Details

Impact

When Flask-AppBuilder is configured to use OAuth, LDAP, or other non-database authentication methods, the password reset endpoint remains registered and accessible, despite not being displayed in the user interface. This allows an enabled user to reset their password and be able to create JWT tokens even after the user is disabled on the authentication provider.

Patches

Upgrade to Flask-AppBuilder version 4.8.1 or later

Workarounds

If immediate upgrade is not possible: - Manually disable password reset routes in the application configuration - Implement additional access controls at the web server or proxy level to block access to the reset my password URL. - Monitor for suspicious password reset attempts from disabled accounts

References

Affected packages

PyPI / flask-appbuilder

Package

Name
flask-appbuilder
View open source insights on deps.dev
Purl
pkg:pypi/flask-appbuilder

Affected ranges

Type
ECOSYSTEM
Events
Introduced
0Unknown introduced version / All previous versions are affected
Fixed
4.8.1

Affected versions

0.*
0.1.3
0.1.4
0.1.5
0.1.6
0.1.7
0.1.8
0.1.9
0.1.10
0.1.11
0.1.12
0.1.13
0.1.14
0.1.15
0.1.16
0.1.17
0.1.18
0.1.19
0.1.20
0.1.21
0.1.22
0.1.23
0.1.24
0.1.25
0.1.26
0.1.27
0.1.28
0.1.29
0.1.33
0.1.34
0.1.35
0.1.36
0.1.37
0.1.38
0.1.43
0.1.44
0.1.45
0.1.46
0.1.47
0.2.0
0.2.1
0.2.2
0.3.0
0.3.1
0.3.2
0.3.3
0.3.4
0.3.5
0.3.6
0.3.7
0.3.8
0.3.9
0.3.10
0.3.11
0.3.12
0.3.13
0.3.14
0.3.15
0.3.16
0.3.17
0.4.0
0.4.1
0.4.2
0.4.3
0.5.0
0.5.1
0.5.2
0.5.3
0.5.4
0.5.5
0.5.6
0.6.1
0.6.2
0.6.3
0.6.4
0.6.5
0.6.6
0.6.7
0.6.8
0.6.9
0.6.10
0.6.11
0.6.12
0.6.13
0.6.14
0.7.0
0.7.1
0.7.2
0.7.3
0.7.4
0.7.5
0.7.6
0.7.7
0.7.8
0.8.0
0.8.1
0.8.2
0.8.3
0.8.4
0.8.5
0.9.0
0.9.1
0.9.2
0.9.3
0.10.0
0.10.1
0.10.2
0.10.3
0.10.4
0.10.5
0.10.6
0.10.7
1.*
1.0.0
1.0.1
1.1.0
1.1.1
1.1.2
1.1.3
1.2.0
1.2.1
1.3.0
1.3.1
1.3.2
1.3.3
1.3.4
1.3.5
1.3.6
1.3.7
1.4.0
1.4.1
1.4.2
1.4.3
1.4.4
1.4.5
1.4.6
1.4.7
1.5.0
1.6.0
1.6.1
1.6.2
1.6.3
1.7.0
1.7.1
1.8.0
1.8.1
1.9.0
1.9.1
1.9.2
1.9.3
1.9.4
1.9.5
1.9.6
1.10.0
1.11.0
1.11.1
1.12.0
1.12.1
1.12.2
1.12.3
1.12.4
1.12.5
1.13.0
1.13.1
2.*
2.0.0
2.1.0
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6
2.1.7
2.1.8
2.1.9
2.1.10
2.1.11
2.1.12
2.1.13
2.2.0rc1
2.2.0rc2
2.2.0
2.2.1rc1
2.2.1rc2
2.2.1rc3
2.2.1
2.2.2rc1
2.2.2rc2
2.2.2rc3
2.2.2
2.2.3rc1
2.2.3rc2
2.2.3rc3
2.2.3rc4
2.2.3rc5
2.2.3rc6
2.2.3
2.2.4rc1
2.2.4
2.3.0rc1
2.3.0rc2
2.3.0rc3
2.3.0rc4
2.3.0
2.3.1rc1
2.3.1
2.3.2rc1
2.3.2
2.3.3rc1
2.3.3rc2
2.3.3rc3
2.3.3
2.3.4rc1
2.3.4
3.*
3.0.0rc1
3.0.0rc2
3.0.0rc3
3.0.0rc4
3.0.0
3.0.1rc1
3.0.1
3.1.0rc1
3.1.0rc2
3.1.0rc3
3.1.0
3.1.1rc1
3.1.1rc2
3.1.1rc3
3.1.1
3.2.0rc1
3.2.0rc2
3.2.0
3.2.1rc1
3.2.1
3.2.2rc1
3.2.2
3.2.3rc1
3.2.3rc2
3.2.3
3.3.0rc1
3.3.0
3.3.1rc1
3.3.1
3.3.2rc1
3.3.2
3.3.3rc1
3.3.3
3.3.4rc1
3.3.4
3.4.0rc1
3.4.0rc2
3.4.0
3.4.1rc1
3.4.1rc2
3.4.1rc3
3.4.1
3.4.2rc1
3.4.2
3.4.3rc1
3.4.3rc2
3.4.3
3.4.4rc1
3.4.4
3.4.5rc1
3.4.5
4.*
4.0.0rc1
4.0.0rc2
4.0.0rc3
4.0.0
4.0.1rc1
4.1.0
4.1.1rc1
4.1.1
4.1.2rc1
4.1.2
4.1.3rc1
4.1.3
4.1.4rc1
4.1.4
4.1.5rc1
4.1.5
4.1.6rc1
4.1.6
4.1.7rc1
4.2.0rc1
4.2.0
4.2.1rc1
4.2.1
4.2.2rc1
4.3.0rc1
4.3.0
4.3.1rc1
4.3.1
4.3.2rc1
4.3.2rc2
4.3.2
4.3.3rc1
4.3.3rc2
4.3.3
4.3.4rc1
4.3.4
4.3.5rc1
4.3.5rc2
4.3.5
4.3.6rc1
4.3.6
4.3.7rc1
4.3.7
4.3.8rc1
4.3.8
4.3.9rc1
4.3.9
4.3.10rc1
4.3.10
4.3.11rc1
4.3.11
4.4.0rc1
4.4.0
4.4.1rc2
4.4.1
4.5.0rc1
4.5.0
4.5.1rc1
4.5.1
4.5.2rc1
4.5.2
4.5.3rc1
4.5.3
4.5.4rc1
4.5.4rc2
4.5.4
4.5.5rc1
4.5.5rc2
4.5.5
4.6.0.dev1
4.6.0.dev2
4.6.0rc1
4.6.0
4.6.1rc1
4.6.1rc2
4.6.1rc3
4.6.1
4.6.2rc1
4.6.2
4.6.3rc1
4.6.3rc2
4.6.3
4.6.4rc1
4.6.4
4.7.0rc1
4.7.0rc2
4.7.0
4.8.0rc1
4.8.0
4.8.1rc1

Database specific

source
"https://github.com/pypa/advisory-database/blob/main/vulns/flask-appbuilder/PYSEC-2026-1378.yaml"