CVE-2026-44903

Nome do Software Vulnerável e Versões Afetadas Prometheus versões 2.49.0 até 3.5.2 Prometheus versões 3.11.0 até 3.11.2

Description Na interface web legada, habilitada através da flag de linha de comando --enable-feature=old-ui, a visualização do gráfico de mapa de calor (heatmap) de histograma não escapa os valores de rótulo ao inseri-los no HTML para uso como rótulos de marcação do eixo. Isso permite que um invasor capaz de injetar métricas manipuladas execute JavaScript no navegador de qualquer usuário que visualize a métrica na interface do gráfico de mapa de calor.

Recommendations Atualize para a versão 3.5.3. Atualize para a versão 3.11.3. Como mitigação temporária, desabilite a interface web legada removendo a flag --enable-feature=old-ui.