Vitess 允许在 /debug/querylogz 和 /debug/env 中注入 HTML(CVE-2024-53257)
CVE编号
CVE-2024-53257
利用情况
暂无
补丁情况
N/A
披露时间
2024-12-04
漏洞描述
Vitess 是一个用于 MySQL 水平扩展的数据库集群系统。对于 vtgate 和 vttablet 的 /debug/querylogz 和 /debug/env 页面,用户输入未进行适当的转义处理。因此,Vitess 执行的查询可以随意在监控页面上写入 HTML。这些页面是使用 text/template 进行渲染的,而不是使用适当的 HTML 模板引擎进行渲染。此漏洞已在 21.0.1、20.0.4 和 19.0.8 版本中得到修复。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/vitessio/vitess/commit/2b71d1b5f8ca676beeab2875525003cd45096217
https://github.com/vitessio/vitess/security/advisories/GHSA-7mwh-q3xm-qh6p
文章评论