Apache Superset:仪表板标题和图表标题中存储的 XSS (CVE-2023-49657)
CVE编号
CVE-2023-49657利用情况
暂无补丁情况
N/A披露时间
2024-01-23漏洞描述
在 Apache Superset 3.0.3 之前的版本中存在存储型跨站脚本攻击(XSS)漏洞。具有图表或仪表板的创建/更新权限的经过身份验证的攻击者可以存储脚本或添加特定的 HTML 代码片段,该代码片段将作为存储型 XSS 攻击。对于 2.X 版本的用户,应更改其配置以包含:TALISMAN_CONFIG = { "content_security_policy": { "base-uri": ["'self'"], "default-src": ["'self'"], "img-src": ["'self'", "blob:", "data:"], "worker-src": ["'self'", "blob:"], "connect-src": ["'self'", "https://api.mapbox.com", "https://events.mapbox.com"], "object-src": "'none'", "style-src": ["'self'", "'unsafe-inline'",], "script-src": ["'self'", "'strict-dynamic'"], }, "content_security_policy_nonce_in": ["script-src"], "force_https": False, "session_cookie_secure": False, }解决建议
"将组件 apache-superset 升级至 3.0.3 及以上版本"
参考链接 |
|
|---|---|
| http://www.openwall.com/lists/oss-security/2024/01/23/5 | |
| https://lists.apache.org/thread/wjyvz8om9nwd396lh0bt156mtwjxpsvx |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 已更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论