Quinox

**Nome do software vulnerável e versões afetadas** Versões do Vitess anteriores à 19.0.8 Versões do Vitess anteriores à 20.0.4 Versões do Vitess anteriores à 21.0.1 **Descrição** O Vitess é um sistema de clustering de bancos de dados para escalonamento horizontal do MySQL. As páginas `/debug/querylogz` e `/debug/env` para `vtgate` e `vttablet` não escapam adequadamente a entrada do usuário, permitindo que consultas executadas pelo Vitess gravem HTML na página de monitoramento à vontade. Essas páginas são renderizadas usando `text/template` em vez de um mecanismo de modelagem HTML adequado. Qualquer pessoa que acesse a página de status do Vitess é afetada, normalmente proprietários ou administradores do cluster do Vitess. Qualquer pessoa que possa influenciar o texto exibido nas consultas pode desencadear essa vulnerabilidade. **Recomendações** Para versões do Vitess anteriores à 19.0.8, atualize para a versão 19.0.8 ou posterior. Para versões do Vitess anteriores à 20.0.4, atualize para a versão 20.0.4 ou posterior. Para versões do Vitess anteriores à 21.0.1, atualize para a versão 21.0.1 ou posterior. Como solução temporária, considere restringir o acesso às páginas `/debug/querylogz` e `/debug/env` para `vtgate` e `vttablet` até que o problema seja resolvido. Evite usar consultas que incluam marcação HTML até que o problema seja corrigido.