یک آسیبپذیری XSS با شناسه CVE-2024-4585 و شدت 9.0 (بحرانی) در تمام نسخههای پلتفرم MindsDB کشف شده است که هر زمان کاربر یک موتور ML، پایگاه داده، پروژه یا مجموعه داده حاوی کد جاوا اسکریپت دلخواه را در رابط کاربری وب فراخوانی کند، امکان اجرای کد جاوا اسکریپت دلخواه را فراهم میکند.
محصولات تحت تاثیر
تمام نسخههای MindsDB v23.11.4.2 تا v24.7.4.1 تحت تاثیر این آسیبپذیری قرار گرفتهاند.
توصیههای امنیتی
باید تمامی ورودیهای کاربر پیش از ذخیره شدن یا نمایش در صفحه، به درستی پاکسازی و فیلتر شوند.
استفاده از CSP از اجرای کدهای جاوااسکریپت غیرمجاز جلوگیری میکند.
هنگام نمایش دادههای کاربر از مکانیزمهای امنسازی کدهای HTML و جاوااسکریپت استفاده شود.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-45856
[2] https://hiddenlayer.com/sai-security-advisory/2024-09-mindsdb
- 52