PT-2020-21113 · Datasette · Datasette-Graphql
Publicado
2020-11-24
·
Atualizado
2020-11-24
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Versões do
datasette-graphql anteriores à 1.2Descrição
A falha expõe o esquema das tabelas privadas do banco de dados em uma instância do Datasette quando o plugin
datasette-graphql está instalado e a instância está disponível na Internet pública. No entanto, ela não expõe o conteúdo das tabelas.Recomendações
Para versões anteriores à 1.2, atualize para a versão 1.2 para resolver o problema.
Como solução alternativa temporária, considere desinstalar o plug-in
datasette-graphql ou impedir o acesso público à instância do Datasette para minimizar o risco de exploração.Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Datasette-Graphql