Skip to main content
Edit this page on GitHub

版本修复的CVE

版本 4.0.2

CVE标题受影响版本
CVE-2024-39887不正确的SQL授权< 4.0.1

版本 3.1.3, 4.0.1

CVE标题受影响版本
CVE-2024-34693服务器任意文件读取< 3.1.3, >= 4.0.0, < 4.0.1

版本 3.1.2

CVE标题受影响版本
CVE-2024-28148探索REST API上的数据源授权不正确< 3.1.2

版本 3.0.4, 3.1.1

CVE标题受影响版本
CVE-2024-27315警报上的错误处理不当< 3.0.4, >= 3.1.0, < 3.1.1
CVE-2024-24773SQL语句验证不当,允许未经授权访问数据< 3.0.4, >= 3.1.0, < 3.1.1
CVE-2024-24772嵌入式上下文中的自定义SQL未正确中和< 3.0.4, >= 3.1.0, < 3.1.1
CVE-2024-24779创建新数据集时数据授权不当< 3.0.4, >= 3.1.0, < 3.1.1
CVE-2024-26016仪表板和图表导入时的授权验证不当< 3.0.4, >= 3.1.0, < 3.1.1

版本 3.0.3

CVE标题受影响版本
CVE-2023-49657仪表板标题和图表标题中的存储型XSS< 3.0.3

版本 3.0.2, 2.1.3

CVE标题受影响版本
CVE-2023-46104通过ZIP炸弹允许不受控制的资源消耗< 2.1.3, >= 3.0.0, < 3.0.2
CVE-2023-49736where_in JINJA宏中的SQL注入< 2.1.3, >= 3.0.0, < 3.0.2
CVE-2023-49734权限提升漏洞< 2.1.3, >= 3.0.0, < 3.0.2

版本 3.0.0

CVE标题受影响版本
CVE-2023-42502开放重定向漏洞< 3.0.0
CVE-2023-42505数据库连接详细信息的敏感信息泄露< 3.0.0

版本 2.1.3

CVE标题受影响版本
CVE-2023-42504缺乏速率限制可能导致拒绝服务< 2.1.3

版本 2.1.2

CVE标题受影响版本
CVE-2023-40610默认示例数据库的权限提升< 2.1.2
CVE-2023-42501Gamma角色中不必要的读取权限< 2.1.2
CVE-2023-43701API端点上的存储型XSS< 2.1.2

版本 2.1.1

CVE标题受影响版本
CVE-2023-36387低权限用户的API权限不当< 2.1.1
CVE-2023-36388低权限用户的API权限不当,允许SSRF< 2.1.1
CVE-2023-27523Jinja模板查询中的数据权限验证不当< 2.1.1
CVE-2023-27526导入图表时的授权检查不当< 2.1.1
CVE-2023-39264默认启用的堆栈跟踪< 2.1.1
CVE-2023-39265可能未经授权注册SQLite数据库连接< 2.1.1
CVE-2023-37941元数据数据库写入访问可能导致远程代码执行< 2.1.1
CVE-2023-32672SQL解析器边缘情况绕过数据访问授权< 2.1.1

版本 2.1.0

CVE标题受影响版本
CVE-2023-25504导入数据集时的可能SSRF漏洞< 2.1.0
CVE-2023-27524使用提供的默认SECRET_KEY时的会话验证漏洞< 2.1.0
CVE-2023-27525Gamma角色的默认权限不正确< 2.1.0
CVE-2023-30776数据库连接密码泄露< 2.1.0

版本 2.0.1

CVE标题受影响版本
CVE-2022-41703adhoc子句中的SQL注入漏洞< 2.0.1 或 < 1.5.2
CVE-2022-43717仪表板上的跨站脚本攻击< 2.0.1 或 < 1.5.2
CVE-2022-43718上传表单上的跨站脚本漏洞< 2.0.1 或 < 1.5.2
CVE-2022-43719接受、请求访问时的跨站请求伪造(CSRF)< 2.0.1 或 < 1.5.2
CVE-2022-43720用户输入的不当渲染< 2.0.1 或 < 1.5.2
CVE-2022-43721开放重定向漏洞< 2.0.1 或 < 1.5.2
CVE-2022-45438仪表板元数据信息泄露< 2.0.1 或 < 1.5.2