リリース別に修正されたCVE
バージョン 4.0.2
| CVE | タイトル | 影響を受けるバージョン |
|---|---|---|
| CVE-2024-39887 | 不適切なSQL認証 | < 4.0.1 |
バージョン 3.1.3, 4.0.1
| CVE | タイトル | 影響を受けるバージョン |
|---|---|---|
| CVE-2024-34693 | サーバーの任意ファイル読み取り | < 3.1.3, >= 4.0.0, < 4.0.1 |
バージョン 3.1.2
| CVE | タイトル | 影響を受けるバージョン |
|---|---|---|
| CVE-2024-28148 | Explore REST APIにおける不適切なデータソース認証 | < 3.1.2 |
バージョン 3.0.4, 3.1.1
| CVE | タイトル | 影響を受けるバージョン |
|---|---|---|
| CVE-2024-27315 | アラートにおける不適切なエラー処理 | < 3.0.4, >= 3.1.0, < 3.1.1 |
| CVE-2024-24773 | SQLステートメントの不適切な検証により、データへの不正アクセスが可能になる | < 3.0.4, >= 3.1.0, < 3.1.1 |
| CVE-2024-24772 | 埋め込みコンテキストでのカスタムSQLの不適切な無害化 | < 3.0.4, >= 3.1.0, < 3.1.1 |
| CVE-2024-24779 | 新しいデータセットの作成時における不適切なデータ認証 | < 3.0.4, >= 3.1.0, < 3.1.1 |
| CVE-2024-26016 | ダッシュボードとチャートのインポートにおける不適切な認証検証 | < 3.0.4, >= 3.1.0, < 3.1.1 |
バージョン 3.0.3
| CVE | タイトル | 影響を受けるバージョン |
|---|---|---|
| CVE-2023-49657 | ダッシュボードタイトルとチャートタイトルにおける保存型XSS | < 3.0.3 |
バージョン 3.0.2, 2.1.3
| CVE | タイトル | 影響を受けるバージョン |
|---|---|---|
| CVE-2023-46104 | ZIP爆弾による制御されていないリソース消費が可能になる | < 2.1.3, >= 3.0.0, < 3.0.2 |
| CVE-2023-49736 | where_in JINJAマクロにおけるSQLインジェクション | < 2.1.3, >= 3.0.0, < 3.0.2 |
| CVE-2023-49734 | 権限昇格の脆弱性 | < 2.1.3, >= 3.0.0, < 3.0.2 |
バージョン 3.0.0
| CVE | タイトル | 影響を受けるバージョン |
|---|---|---|
| CVE-2023-42502 | オープンリダイレクトの脆弱性 | < 3.0.0 |
| CVE-2023-42505 | データベース接続の詳細に関する機密情報の漏洩 | < 3.0.0 |
バージョン 2.1.3
| CVE | タイトル | 影響を受けるバージョン |
|---|---|---|
| CVE-2023-42504 | レート制限がないため、サービス拒否攻撃の可能性がある | < 2.1.3 |
バージョン 2.1.2
| CVE | タイトル | 影響を受けるバージョン |
|---|---|---|
| CVE-2023-40610 | デフォルトのサンプルデータベースによる権限昇格 | < 2.1.2 |
| CVE-2023-42501 | Gammaロール内の不要な読み取り権限 | < 2.1.2 |
| CVE-2023-43701 | APIエンドポイントにおける保存型XSS | < 2.1.2 |
バージョン 2.1.1
| CVE | タイトル | 影響を受けるバージョン |
|---|---|---|
| CVE-2023-36387 | 低権限ユーザーの不適切なAPI権限 | < 2.1.1 |
| CVE-2023-36388 | 低権限ユーザーの不適切なAPI権限によりSSRFが可能になる | < 2.1.1 |
| CVE-2023-27523 | Jinjaテンプレートクエリにおける不適切なデータ権限検証 | < 2.1.1 |
| CVE-2023-27526 | チャートのインポートにおける不適切な認証チェック | < 2.1.1 |
| CVE-2023-39264 | スタックトレースがデフォルトで有効になっている | < 2.1.1 |
| CVE-2023-39265 | SQLiteデータベース接続の不正な登録の可能性 | < 2.1.1 |
| CVE-2023-37941 | メタデータdbへの書き込みアクセスにより、リモートコード実行が可能になる | < 2.1.1 |
| CVE-2023-32672 | SQLパーサーのエッジケースがデータアクセス認証をバイパスする | < 2.1.1 |
バージョン 2.1.0
| CVE | タイトル | 影響を受けるバージョン |
|---|---|---|
| CVE-2023-25504 | データセットのインポートにおけるSSRFの可能性 | < 2.1.0 |
| CVE-2023-27524 | 提供されたデフォルトのSECRET_KEYを使用する場合のセッション検証の脆弱性 | < 2.1.0 |
| CVE-2023-27525 | Gammaロールの不適切なデフォルト権限 | < 2.1.0 |
| CVE-2023-30776 | データベース接続パスワードの漏洩 | < 2.1.0 |
バージョン 2.0.1
| CVE | タイトル | 影響を受けるバージョン |
|---|---|---|
| CVE-2022-41703 | アドホック句におけるSQLインジェクションの脆弱性 | 2.0.1未満または1.5.2未満 |
| CVE-2022-43717 | ダッシュボードにおけるクロスサイトスクリプティング | 2.0.1未満または1.5.2未満 |
| CVE-2022-43718 | アップロードフォームにおけるクロスサイトスクリプティングの脆弱性 | 2.0.1未満または1.5.2未満 |
| CVE-2022-43719 | アクセスを承認、リクエストする際のクロスサイトリクエストフォージェリ(CSRF) | 2.0.1未満または1.5.2未満 |
| CVE-2022-43720 | ユーザー入力の不適切なレンダリング | 2.0.1未満または1.5.2未満 |
| CVE-2022-43721 | オープンリダイレクトの脆弱性 | 2.0.1未満または1.5.2未満 |
| CVE-2022-45438 | ダッシュボードメタデータ情報の漏洩 | 2.0.1未満または1.5.2未満 |