CVE-2024-26148

Nome do software vulnerável e versões afetadas:

Versões do Querybook anteriores à 3.31.1

Descrição:

O problema está relacionado ao componente Rich Text Editor do Querybook, que não valida corretamente as entradas do usuário, permitindo que URLs arbitrárias sejam inseridas sem a validação necessária. Essa falha de segurança permite o uso do protocolo javascript:, podendo desencadear a execução arbitrária no lado do cliente. No caso mais extremo, um usuário administrador poderia, sem saber, clicar em uma URL de cross-site scripting, comprometendo o acesso com privilégios de administrador para o invasor.

Recomendações:

Para versões anteriores à 3.31.1, atualize para a versão 3.31.1 ou posterior, pois ela inclui um patch para corrigir esse problema. A correção é compatível com versões anteriores e corrige automaticamente os DataDocs existentes. Como solução alternativa temporária, considere verificar manualmente cada URL antes de clicar nelas para minimizar o risco de exploração.