PT-2024-29500 · Ckan+2 · Datatables View Plugin+3
Gatiszeiris
·
Publicado
2024-08-21
·
Atualizado
2024-08-23
·
CVE-2024-41675
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do CKAN de 2.7.0 a 2.10.4
A versão 2.11.0 do CKAN não é afetada, mas as versões anteriores à 2.11.0 são vulneráveis se forem anteriores à 2.10.5.
Descrição
O plugin Datatables view no CKAN não escapava adequadamente os dados de registros provenientes do DataStore, levando a um vetor potencial de XSS. Este problema afeta sites que executam o CKAN com o plugin datatables view ativado, que é um plugin incluído no núcleo do CKAN, mas não ativado por padrão. Ele é amplamente utilizado para visualizar dados tabulares.
Recomendações
Para as versões do CKAN 2.7.0 a 2.10.4, atualize para o CKAN 2.10.5 ou posterior para corrigir a vulnerabilidade.
Para as versões do CKAN anteriores à 2.11.0 e anteriores à 2.10.5, atualize para o CKAN 2.11.0 ou posterior para corrigir a vulnerabilidade.
Como solução alternativa temporária, considere impedir a importação de arquivos tabulares para o DataStore via DataPusher, XLoader etc., pelo menos aqueles publicados por fontes não confiáveis.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ckan
Datapusher
Datatables View Plugin
Xloader