CVE-2022-46151

Versões do Querybook anteriores à 3.14.2

O problema diz respeito ao Querybook, uma interface de usuário de código aberto para consulta de dados. Nas versões afetadas, os dados fornecidos pelo usuário não são escapados no campo de erro da URL de callback de autenticação em querybook/server/app/auth/oauth auth.py e querybook/server/app/auth/okta auth.py. Isso pode permitir que invasores executem cross-site scripting (XSS) refletido se a Política de Segurança de Conteúdo (CSP) não estiver habilitada ou se unsafe-inline for permitido.

Para versões anteriores à 3.14.2, atualize para a versão mais recente e corrigida do Querybook (versão 3.14.2 ou superior).

Para usuários que não possam atualizar, habilite a Política de Segurança de Conteúdo (CSP) e não permita unsafe-inline, ou escape manualmente os parâmetros de consulta em um proxy reverso.