跳至主要內容
在 GitHub 上編輯此頁面

各版本修復的 CVE

版本 4.0.2

CVE標題受影響的版本
CVE-2024-39887不當的 SQL 授權< 4.0.1

版本 3.1.3, 4.0.1

CVE標題受影響的版本
CVE-2024-34693伺服器任意檔案讀取< 3.1.3, >= 4.0.0, < 4.0.1

版本 3.1.2

CVE標題受影響的版本
CVE-2024-28148在 explore REST API 上不正確的資料來源授權< 3.1.2

版本 3.0.4, 3.1.1

CVE標題受影響的版本
CVE-2024-27315警報處理錯誤不當< 3.0.4, >= 3.1.0, < 3.1.1
CVE-2024-24773SQL 語句驗證不當,允許未經授權存取資料< 3.0.4, >= 3.1.0, < 3.1.1
CVE-2024-24772在嵌入式環境中,不適當地中和自訂 SQL< 3.0.4, >= 3.1.0, < 3.1.1
CVE-2024-24779建立新資料集時,不適當的資料授權< 3.0.4, >= 3.1.0, < 3.1.1
CVE-2024-26016儀表板和圖表匯入時,不適當的授權驗證< 3.0.4, >= 3.1.0, < 3.1.1

版本 3.0.3

CVE標題受影響的版本
CVE-2023-49657儀表板標題和圖表標題中的儲存型 XSS< 3.0.3

版本 3.0.2, 2.1.3

CVE標題受影響的版本
CVE-2023-46104允許通過 ZIP 炸彈不受控制的資源消耗< 2.1.3, >= 3.0.0, < 3.0.2
CVE-2023-49736在 where_in JINJA 巨集上的 SQL 注入< 2.1.3, >= 3.0.0, < 3.0.2
CVE-2023-49734權限提升漏洞< 2.1.3, >= 3.0.0, < 3.0.2

版本 3.0.0

CVE標題受影響的版本
CVE-2023-42502開放重定向漏洞< 3.0.0
CVE-2023-42505資料庫連線詳細資訊的敏感資訊洩露< 3.0.0

版本 2.1.3

CVE標題受影響的版本
CVE-2023-42504缺乏速率限制,可能導致阻斷服務< 2.1.3

版本 2.1.2

CVE標題受影響的版本
CVE-2023-40610使用預設範例資料庫的權限提升< 2.1.2
CVE-2023-42501Gamma 角色中不必要的讀取權限< 2.1.2
CVE-2023-43701在 API 端點上儲存型 XSS< 2.1.2

版本 2.1.1

CVE標題受影響的版本
CVE-2023-36387低權限使用者的 API 權限不當< 2.1.1
CVE-2023-36388低權限使用者的 API 權限不當,允許 SSRF< 2.1.1
CVE-2023-27523在 Jinja 模板查詢上不當的資料權限驗證< 2.1.1
CVE-2023-27526匯入圖表時的授權檢查不當< 2.1.1
CVE-2023-39264預設啟用堆疊追蹤< 2.1.1
CVE-2023-39265可能未經授權註冊 SQLite 資料庫連線< 2.1.1
CVE-2023-37941中繼資料資料庫寫入權限可能導致遠端程式碼執行< 2.1.1
CVE-2023-32672SQL 解析器邊緣案例繞過資料存取授權< 2.1.1

版本 2.1.0

CVE標題受影響的版本
CVE-2023-25504匯入資料集時可能發生 SSRF< 2.1.0
CVE-2023-27524使用提供的預設 SECRET_KEY 時的會話驗證漏洞< 2.1.0
CVE-2023-27525Gamma 角色的預設權限不正確< 2.1.0
CVE-2023-30776資料庫連線密碼洩露< 2.1.0

版本 2.0.1

CVE標題受影響的版本
CVE-2022-41703在 adhoc 子句中的 SQL 注入漏洞< 2.0.1 或 < 1.5.2
CVE-2022-43717儀表板上的跨網站指令碼攻擊< 2.0.1 或 < 1.5.2
CVE-2022-43718上傳表單上的跨網站指令碼攻擊漏洞< 2.0.1 或 < 1.5.2
CVE-2022-43719在接受、請求存取時的跨網站請求偽造 (CSRF)< 2.0.1 或 < 1.5.2
CVE-2022-43720不適當的使用者輸入渲染< 2.0.1 或 < 1.5.2
CVE-2022-43721開放重定向漏洞< 2.0.1 或 < 1.5.2
CVE-2022-45438儀表板中繼資料資訊洩露< 2.0.1 或 < 1.5.2