PT-2024-1499 · Apache · Apache Superset
Amit Laish
+1
·
Publicado
2024-01-23
·
Atualizado
2025-02-05
·
CVE-2023-49657
CVSS v3.1
9.6
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Superset anteriores à 3.0.3
Descrição
Existe uma vulnerabilidade de script entre sites armazenado (XSS) no Apache Superset. Um invasor autenticado com permissões de criação/atualização em gráficos ou painéis poderia armazenar um script ou adicionar um trecho específico de HTML que funcionaria como um XSS armazenado. Isso poderia permitir que um invasor remoto realizasse ataques de cross-site scripting.
Recomendações
Para versões anteriores à 3.0.3, atualize para a versão 3.0.3 ou posterior para resolver o problema.
Para versões 2.X, os usuários devem alterar sua configuração para incluir as definições TALISMAN CONFIG especificadas a fim de mitigar o risco.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Superset