cube-js v0.31.23存在 sql 注入漏洞
漏洞描述
cube-js 是一个商业智能平台,帮助数据工程师和应用程序开发人员从现代数据存储中访问数据,将其组织成一致的定义,并将其交付给每个应用程序。
cube-js v0.31.23版本中,所有经过身份验证的 Cube 客户端都可以绕过 SQL row-level 安全性并通过新引入的 /v1/sql-runner 端点运行任意 SQL,攻击者可通过构造恶意 sql 获取 cube 数据源中的敏感信息。此问题已在版本 0.31.24 中得到解决,建议用户升级到 0.31.24 或降级到 0.31.22。
| 漏洞名称 | cube-js v0.31.23存在 sql 注入漏洞 |
|---|---|
| 漏洞类型 | SQL注入 |
| 发现时间 | 2022-12-10 |
| 漏洞影响广度 | 一般 |
| MPS编号 | MPS-2022-1937 |
| CVE编号 | CVE-2022-23510 |
| CNVD编号 | - |
影响范围
@cubejs-backend/api-gateway@[0.31.23, 0.31.24)
修复方案
升级@cubejs-backend/api-gateway到 0.31.24 或更高版本
降级@cubejs-backend/api-gateway到 0.31.23 或更低版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-1937
https://nvd.nist.gov/vuln/detail/CVE-2022-23510
https://github.com/cube-js/cube.js/security/advisories/GHSA-6jqm-3c9g-pch7
https://github.com/cube-js/cube.js/commit/3c614674fed6ca17df08bbba8c835ef110167570
https://github.com/cube-js/cube.js/commit/f1140de508e359970ac82b50bae1c4bf152f6041
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Containous Traefik 授权标头泄露漏洞
漏洞描述 Containous Traefik是美国Containous公司的一款反向代理和负载平衡器。Containous Traefik 2.9.6之前的版本存在信息泄露漏洞,该漏洞源于其调试日志中显示授权标头。 漏洞名称 Containous Traefik 授权标头泄露漏洞 漏洞类型 信息暴露 发现时间 2022-12-09 漏洞影响广度 小 MPS编号 MPS-2022-1896 CVE编号 CVE-2022-23469 CNVD编号 - 影响范围 github.com/traefik/traefik/v2@(-∞, 2.9.6) 修复方案 将组件 github.com/traefik/traefik/v2 升级至 2.9.6 及以上版本 参考链接 https://www.oscs1024.com/hd/MPS-2022-1896 https://nvd.nist.gov/vuln/detail/CVE-2022-23469 情报订阅 OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏...
- 下一篇
Spring Boot admins 存在代码注入漏洞
漏洞描述 Spring Boot admins 是一个用于管理 Spring Boot 应用程序的开源管理用户界面。 Spring Boot admins 的 notifiers 通知模块由于没有对用户输入进行有效过滤,所有运行 Spring Boot Admin Server、启用通知程序(例如 Teams-Notifier)并通过 UI 写入环境变量的用户都会受到代码注入的影响。攻击者可利用此漏洞通过向 Spring Boot Admin Server 的 /env 执行器端点发送包含恶意代码的 POST 请求远程执行恶意代码。建议用户升级到最新版本的 Spring Boot Admin 2.6.10 和 2.7.8 以上版本,无法升级的用户可以禁用任何通知程序或禁用 /env 执行器端点上的写访问(POST 请求)缓解此漏洞。 漏洞名称 Spring Boot admins 存在代码注入漏洞 漏洞类型 代码注入 发现时间 2022-12-10 漏洞影响广度 一般 MPS编号 MPS-2022-65559 CVE编号 CVE-2022-46166 CNVD编号 - 影响范围 de....
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Red5直播服务器,属于Java语言的直播服务器
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS8编译安装MySQL8.0.19
微信收款码
支付宝收款码