Dennisoelkers

**Nome do software vulnerável e versões afetadas** Versões 6.1.0 a 6.1.1 do Graylog **Descrição** O Graylog é uma plataforma de gerenciamento de logs. A funcionalidade de relatórios permite a criação e o agendamento de relatórios contendo widgets de painel que exibem mensagens de log ou métricas agregadas. Existe uma falha em que múltiplas solicitações simultâneas de renderização de relatórios por usuários autorizados podem levar ao vazamento de informações. Quando vários relatórios são solicitados simultaneamente, a instância do navegador headless usada para renderização de PDF é reutilizada. Dependendo do momento, isso pode resultar em um erro ou permitir que um usuário acesse o relatório de outro usuário, expondo potencialmente mensagens de log indexadas ou dados agregados aos quais eles não deveriam ter acesso. **Recomendações** A versão 6.1.2 do Graylog resolve esse problema. Atualize para a versão 6.1.2 ou posterior. Como medida temporária, desative a funcionalidade de relatórios.

**Name of the Vulnerable Software and Affected Versions** Graylog versions prior to 2.4.4 **Description** The issue is related to an XSS security problem with unescaped text in notifications. This is connected to toastr and the util/UserNotification.js file. **Recommendations** For versions prior to 2.4.4, update to version 2.4.4 or later to resolve the issue. As a temporary workaround, consider disabling notifications until a patch is available. Restrict access to the util/UserNotification.js file to minimize the risk of exploitation.