攻擊路徑注入、跨網站指令碼 (XSS) 和 CORS 錯誤配置 GHSL-2023-232_GHSL-2023-234: Path injection, Cross-Site Scripting (XSS) and CORS misconfiguration in Flowise – CVE-2024-36420, CVE-2024-36421, CVE-2024-36422, CVE-2024-36423, CVE-2024-37145, CVE-2024-37146

https://securitylab.github.com/advisories/GHSL-2023-232_GHSL-2023-234_Flowise/

Flowise 存在路徑注入、跨站腳本(XSS)和 CORS 設定錯誤漏洞,可能危及主機伺服器上資訊的機密性。最嚴重的情況下,可能允許攻擊者從 Flowise 伺服器讀取文件和讀取/修改使用者密碼。具體問題包括路徑注入、反射性 XSS 和 CORS 設定錯誤漏洞。漏洞影響可能包括任意文件讀取和信息外洩。若需進一步了解這些問題,請聯繫 GHSL 團隊。

via GitHub Security Lab | Advisories

June 29, 2024 at 01:00AM

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *