PT-2024-39677 · Unknown · Kubeflow Pipeline View
Philipp Schneider
·
Publicado
2024-11-18
·
Atualizado
2025-07-23
·
CVE-2024-9526
CVSS v4.0
7.1
Alta
| Vetor | AV:A/AC:L/AT:P/PR:H/UI:P/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L/S:P/AU:Y/R:U/V:D/RE:L/U:Green |
Nome do software vulnerável e versões afetadas
Kubeflow Pipeline View (versões afetadas não especificadas)
Descrição
O problema diz respeito a uma vulnerabilidade de XSS armazenado na interface de usuário web do Kubeflow Pipeline View. Essa vulnerabilidade permite que um invasor injete código HTML malicioso no campo de descrição ao criar um novo pipeline, uma vez que o campo não filtra adequadamente as tags HTML. Isso pode levar a um ataque de XSS armazenado.
Recomendações
Atualize para uma versão posterior ao commit 930c35f1c543998e60e8d648ce93185c9b5dbe8d para resolver o problema. Como solução alternativa temporária, considere restringir o uso de tags HTML no campo de descrição para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kubeflow Pipeline View