کشف آسیب‌پذیری در پلتفرم MindsDB

کشف آسیب‌پذیری در پلتفرم MindsDB

تاریخ ایجاد

یک آسیب‌پذیری XSS با شناسه CVE-2024-4585 و شدت 9.0 (بحرانی) در تمام نسخه‌های پلتفرم MindsDB کشف شده است که هر زمان کاربر یک موتور ML، پایگاه داده، پروژه یا مجموعه داده حاوی کد جاوا اسکریپت دلخواه را در رابط کاربری وب فراخوانی کند، امکان اجرای کد جاوا اسکریپت دلخواه را فراهم می‌کند.
 

محصولات تحت تاثیر

تمام نسخه‌های MindsDB v23.11.4.2 تا v24.7.4.1  تحت تاثیر این آسیب‌‌پذیری قرار گرفته‌اند.
 

توصیه‌های امنیتی
باید تمامی ورودی‌های کاربر پیش از ذخیره شدن یا نمایش در صفحه، به درستی پاکسازی و فیلتر شوند.
استفاده از CSP از اجرای کدهای جاوااسکریپت غیرمجاز جلوگیری می‌کند.
هنگام نمایش داده‌های کاربر از مکانیزم‌های امن‌سازی کدهای HTML و جاوااسکریپت استفاده شود.

منابع خبر:

 


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-45856
[2] https://hiddenlayer.com/sai-security-advisory/2024-09-mindsdb