PT-2024-36605 · D-Tale · D-Tale
Taiphung217
·
Publicado
2024-12-13
·
Atualizado
2024-12-13
·
CVE-2024-55890
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N |
Nome do software vulnerável e versões afetadas
Versões do D-Tale anteriores à 3.16.1
Descrição
O D-Tale é um visualizador para estruturas de dados pandas. Usuários que hospedam o D-Tale publicamente podem estar vulneráveis à execução remota de código, permitindo que invasores executem código malicioso no servidor. O endpoint
update-settings está envolvido, especificamente a capacidade dos usuários de atualizar o sinalizador enable custom filters.Recomendações
Para versões anteriores à 3.16.1, a única solução alternativa é hospedar o D-Tale apenas para usuários confiáveis.
Para todas as versões afetadas, os usuários devem atualizar para a versão 3.16.1, na qual o endpoint
update-settings bloqueia a capacidade dos usuários de atualizar o sinalizador enable custom filters.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
D-Tale