按版本修复的 CVE
版本 4.0.2
CVE | 标题 | 受影响版本 |
---|---|---|
CVE-2024-39887 | 不正确的 SQL 授权 | < 4.0.1 |
版本 3.1.3, 4.0.1
CVE | 标题 | 受影响版本 |
---|---|---|
CVE-2024-34693 | 服务器任意文件读取 | < 3.1.3, >= 4.0.0, < 4.0.1 |
版本 3.1.2
CVE | 标题 | 受影响版本 |
---|---|---|
CVE-2024-28148 | 探索 REST API 上不正确的 数据源授权 | < 3.1.2 |
版本 3.0.4, 3.1.1
CVE | 标题 | 受影响版本 |
---|---|---|
CVE-2024-27315 | 警报上的不当错误处理 | < 3.0.4, >= 3.1.0, < 3.1.1 |
CVE-2024-24773 | 对 SQL 语句验证不当会导致未经授权访问数据 | < 3.0.4, >= 3.1.0, < 3.1.1 |
CVE-2024-24772 | 嵌入式上下文中对自定义 SQL 的不当中和 | < 3.0.4, >= 3.1.0, < 3.1.1 |
CVE-2024-24779 | 创建新数据集时不当的数据授权 | < 3.0.4, >= 3.1.0, < 3.1.1 |
CVE-2024-26016 | 仪表板和图表导入上的不当授权验证 | < 3.0.4, >= 3.1.0, < 3.1.1 |
版本 3.0.3
CVE | 标题 | 受影响版本 |
---|---|---|
CVE-2023-49657 | 仪表板标题和图表标题中的存储型 XSS | < 3.0.3 |
版本 3.0.2, 2.1.3
CVE | 标题 | 受影响版本 |
---|---|---|
CVE-2023-46104 | 允许通过 ZIP 压缩包进行不受控的资源消耗 | < 2.1.3, >= 3.0.0, < 3.0.2 |
CVE-2023-49736 | where_in JINJA 宏上的 SQL 注入 | < 2.1.3, >= 3.0.0, < 3.0.2 |
CVE-2023-49734 | 权限提升漏洞 | < 2.1.3, >= 3.0.0, < 3.0.2 |
版本 3.0.0
CVE | 标题 | 受影响版本 |
---|---|---|
CVE-2023-42502 | 开放重定向漏洞 | < 3.0.0 |
CVE-2023-42505 | 数据库连接详细信息上的敏感信息泄露 | < 3.0.0 |
版本 2.1.3
CVE | 标题 | 受影响版本 |
---|---|---|
CVE-2023-42504 | 缺乏速率限制会导致可能的拒绝服务 | < 2.1.3 |
版本 2.1.2
CVE | 标题 | 受影响版本 |
---|---|---|
CVE-2023-40610 | 使用默认示例数据库进行权限提升 | < 2.1.2 |
CVE-2023-42501 | Gamma 角色中不必要的读取权限 | < 2.1.2 |
CVE-2023-43701 | API 终结点上的存储型 XSS | < 2.1.2 |
版本 2.1.1
CVE | 标题 | 受影响版本 |
---|---|---|
CVE-2023-36387 | 低权限用户的 API 权限不当 | < 2.1.1 |
CVE-2023-36388 | 低权限用户的 API 权限不当会导致 SSRF | < 2.1.1 |
CVE-2023-27523 | Jinja 模板查询上的数据权限验证不当 | < 2.1.1 |
CVE-2023-27526 | 导入图表上的授权检查不当 | < 2.1.1 |
CVE-2023-39264 | 默认情况下启用堆栈跟踪 | < 2.1.1 |
CVE-2023-39265 | 可能未经授权注册 SQLite 数据库连接 | < 2.1.1 |
CVE-2023-37941 | 元数据数据库写入访问权限会导致远程代码执行 | < 2.1.1 |
CVE-2023-32672 | SQL 解析器边缘情况绕过了数据访问授权 | < 2.1.1 |
版本 2.1.0
CVE | 标题 | 受影响版本 |
---|---|---|
CVE-2023-25504 | 导入数据集时可能存在 SSRF | < 2.1.0 |
CVE-2023-27524 | 使用提供的默认 SECRET_KEY 时存在会话验证漏洞 | < 2.1.0 |
CVE-2023-27525 | Gamma 角色的默认权限不正确 | < 2.1.0 |
CVE-2023-30776 | 数据库连接密码泄露 | < 2.1.0 |
版本 2.0.1
CVE | 标题 | 受影响版本 |
---|---|---|
CVE-2022-41703 | 特设子句中的 SQL 注入漏洞 | < 2.0.1 或 < 1.5.2 |
CVE-2022-43717 | 仪表板上的跨站点脚本 | < 2.0.1 或 < 1.5.2 |
CVE-2022-43718 | 上传表单上的跨站点脚本漏洞 | < 2.0.1 或 < 1.5.2 |
CVE-2022-43719 | 跨站点请求伪造 (CSRF) 在接受、请求访问时 | < 2.0.1 或 < 1.5.2 |
CVE-2022-43720 | 对用户输入的渲染不当 | < 2.0.1 或 < 1.5.2 |
CVE-2022-43721 | 开放重定向漏洞 | < 2.0.1 或 < 1.5.2 |
CVE-2022-45438 | 仪表板元数据信息泄露 | < 2.0.1 或 < 1.5.2 |