Apache Superset:API 端点上存储的 XSS (CVE-2023-43701)
CVE编号
CVE-2023-43701利用情况
暂无补丁情况
N/A披露时间
2023-11-27漏洞描述
由于不正确的有效负载验证和不正确的 REST API 响应类型,已经存在一个已认证的恶意行为者可以将恶意代码存储到图表的元数据中,如果用户特别访问特定的弃用 API 端点,该代码就会被执行。此问题影响 Apache Superset 版本 2.1.2 之前的版本。建议用户升级到修复此问题的版本 2.1.2。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://lists.apache.org/thread/4dnr1knk50fw60jxkjgqj228f0xcc892 | |
| https://www.openwall.com/lists/oss-security/2023/11/27/4 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论