Kennethchiong

#20284de 53,632
12.7CVSS total
Vulnerabilidades · 2
Média
1
Alta
1
PT-2024-37737
5.4
2024-08-30
Lightdash · Lightdash · CVE-2024-6585
**Nome do software vulnerável e versões afetadas** Lightdash versão 0.1024.6 **Descrição** Várias vulnerabilidades de cross-site scripting (XSS) armazenadas no painel de controle do Markdown e na funcionalidade de comentários do painel permitem que agentes mal-intencionados autenticados remotamente injetem scripts maliciosos em páginas da web vulneráveis. Um agente mal-intencionado poderia potencialmente explorar essa vulnerabilidade para armazenar JavaScript malicioso que seja executado no contexto da sessão do usuário com o aplicativo. **Recomendações** Para a versão 0.1024.6, considere atualizar para uma versão mais recente a fim de mitigar o risco de comprometimento dos dados e sessões dos usuários. Como solução temporária, restrinja o acesso ao painel de controle do Markdown e à funcionalidade de comentários do painel para minimizar o risco de exploração. Evite usar a funcionalidade vulnerável até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
PT-2024-37738
7.3
2024-08-30
Lightdash · Lightdash · CVE-2024-6586
**Nome do software vulnerável e versões afetadas** Lightdash versão 0.1024.6 **Descrição** A vulnerabilidade permite que usuários com as permissões necessárias, como Administrador ou Editor, criem e compartilhem painéis que podem acionar uma solicitação SSRF quando exportados, por meio de uma solicitação POST para “/api/v1/dashboards//export”. Essa solicitação falsificada contém o valor do token de sessão do usuário que está exportando, o qual pode ser usado por um agente mal-intencionado para obter o token de sessão de qualquer usuário que exporte o painel e realizar ações como a vítima no aplicativo, resultando na apropriação da sessão. **Recomendações** Para a versão 0.1024.6 do Lightdash, atualize para a versão 0.1027.2 para proteger o sistema. Como solução temporária, considere restringir o acesso ao endpoint “/api/v1/dashboards//export” até que a atualização seja aplicada. Além disso, os usuários devem ter cuidado ao exportar painéis que contenham elementos HTML que apontem para fontes externas.