跳至主要内容
在 GitHub 上编辑此页面

按版本修复的 CVE

版本 4.0.2

CVE标题受影响版本
CVE-2024-39887不正确的 SQL 授权< 4.0.1

版本 3.1.3, 4.0.1

CVE标题受影响版本
CVE-2024-34693服务器任意文件读取< 3.1.3, >= 4.0.0, < 4.0.1

版本 3.1.2

CVE标题受影响版本
CVE-2024-28148探索 REST API 上不正确的 数据源授权< 3.1.2

版本 3.0.4, 3.1.1

CVE标题受影响版本
CVE-2024-27315警报上的不当错误处理< 3.0.4, >= 3.1.0, < 3.1.1
CVE-2024-24773对 SQL 语句验证不当会导致未经授权访问数据< 3.0.4, >= 3.1.0, < 3.1.1
CVE-2024-24772嵌入式上下文中对自定义 SQL 的不当中和< 3.0.4, >= 3.1.0, < 3.1.1
CVE-2024-24779创建新数据集时不当的数据授权< 3.0.4, >= 3.1.0, < 3.1.1
CVE-2024-26016仪表板和图表导入上的不当授权验证< 3.0.4, >= 3.1.0, < 3.1.1

版本 3.0.3

CVE标题受影响版本
CVE-2023-49657仪表板标题和图表标题中的存储型 XSS< 3.0.3

版本 3.0.2, 2.1.3

CVE标题受影响版本
CVE-2023-46104允许通过 ZIP 压缩包进行不受控的资源消耗< 2.1.3, >= 3.0.0, < 3.0.2
CVE-2023-49736where_in JINJA 宏上的 SQL 注入< 2.1.3, >= 3.0.0, < 3.0.2
CVE-2023-49734权限提升漏洞< 2.1.3, >= 3.0.0, < 3.0.2

版本 3.0.0

CVE标题受影响版本
CVE-2023-42502开放重定向漏洞< 3.0.0
CVE-2023-42505数据库连接详细信息上的敏感信息泄露< 3.0.0

版本 2.1.3

CVE标题受影响版本
CVE-2023-42504缺乏速率限制会导致可能的拒绝服务< 2.1.3

版本 2.1.2

CVE标题受影响版本
CVE-2023-40610使用默认示例数据库进行权限提升< 2.1.2
CVE-2023-42501Gamma 角色中不必要的读取权限< 2.1.2
CVE-2023-43701API 终结点上的存储型 XSS< 2.1.2

版本 2.1.1

CVE标题受影响版本
CVE-2023-36387低权限用户的 API 权限不当< 2.1.1
CVE-2023-36388低权限用户的 API 权限不当会导致 SSRF< 2.1.1
CVE-2023-27523Jinja 模板查询上的数据权限验证不当< 2.1.1
CVE-2023-27526导入图表上的授权检查不当< 2.1.1
CVE-2023-39264默认情况下启用堆栈跟踪< 2.1.1
CVE-2023-39265可能未经授权注册 SQLite 数据库连接< 2.1.1
CVE-2023-37941元数据数据库写入访问权限会导致远程代码执行< 2.1.1
CVE-2023-32672SQL 解析器边缘情况绕过了数据访问授权< 2.1.1

版本 2.1.0

CVE标题受影响版本
CVE-2023-25504导入数据集时可能存在 SSRF< 2.1.0
CVE-2023-27524使用提供的默认 SECRET_KEY 时存在会话验证漏洞< 2.1.0
CVE-2023-27525Gamma 角色的默认权限不正确< 2.1.0
CVE-2023-30776数据库连接密码泄露< 2.1.0

版本 2.0.1

CVE标题受影响版本
CVE-2022-41703特设子句中的 SQL 注入漏洞< 2.0.1 或 < 1.5.2
CVE-2022-43717仪表板上的跨站点脚本< 2.0.1 或 < 1.5.2
CVE-2022-43718上传表单上的跨站点脚本漏洞< 2.0.1 或 < 1.5.2
CVE-2022-43719跨站点请求伪造 (CSRF) 在接受、请求访问时< 2.0.1 或 < 1.5.2
CVE-2022-43720对用户输入的渲染不当< 2.0.1 或 < 1.5.2
CVE-2022-43721开放重定向漏洞< 2.0.1 或 < 1.5.2
CVE-2022-45438仪表板元数据信息泄露< 2.0.1 或 < 1.5.2