因为Flask-CKEditor的示例程序目录下包含一个旧的requirements.txt文件，其中Flask版本被固定为0.12.2，推动代码到GitHub时，触发了内置的依赖安全提示，进而了解了一下这个关于Flask 0.12.2版本的漏洞。

漏洞描述

The Pallets Project flask version Before 0.12.3 contains a CWE-20: Improper Input Validation vulnerability in flask that can result in Large amount of memory usage possibly leading to denial of service. This attack appear to be exploitable via Attacker provides JSON data in incorrect encoding. This vulnerability appears to have been fixed in 0.12.3.

应对措施

$ pip install -U flask

$ pipenv update flask

$ pip install flask==0.12.3

flask ~> 0.12.3

$ pipenv install flask==0.12.3

附注

• NVD是美国政府收集网络安全漏洞的网站，类似“乌云”，详情见National Vulnerability Database；
• CWE（Common Weakness Enumeration，常见缺陷枚举）是漏洞分类标准，由美国非营利组织MITRE维护，详情见Common Weakness Enumeration。
• CVE（The Common Vulnerabilities and Exposures，一般漏洞及暴露）是一个漏洞数据库，由美国非营利组织MITRE维护，详情见Common Vulnerabilities and Exposures (CVE)。