Lo que esto significa es que si una persona en un grupo con más acceso a los datos crea una suscripción al tablero y agrega una persona con menos privilegios de datos, los datos enviados a la bandeja de entrada de esa persona y a todos los destinatarios de esa suscripción serían los mismos: los gráficos que se muestran en el correo electrónico respetarán los privilegios del usuario que creó la suscripción
CVE-2023-23628 y CVE-2023-23629
El problema era que los usuarios con menos privilegios que podían ver un tablero podían agregarse a una suscripción de tablero creada por alguien con privilegios de datos adicionales y, por lo tanto, obtener acceso a más datos por correo electrónico.
Este problema se corregirá en 0.43.7.1, 1.43.7.1, 0.44.6.1, 1.44.6.1, 0.45.2.1, 1.45.2.1. En la versión actualizada de Metabase, las personas solo pueden editar las suscripciones de panel que crean. Los administradores aún pueden editar cualquier suscripción al panel.
Soluciones alternativas En las instancias de Metabase que ejecutan Enterprise Edition, los administradores pueden deshabilitar el permiso "Suscripciones y alertas" para grupos que tienen permisos de datos restringidos.
Otras referencias sobre vulnerabilidades CVE
- www.clasesordenador.com/vulnerabilidad-critica-a-120-impresoras-lexmark/
- www.clasesordenador.com/bind9-puede-bloquearse/
- www.clasesordenador.com/bind-procesamiento-respuestas-repetidas-a-la-misma-consulta/
- www.clasesordenador.com/una-inundacion-de-mensajes-puede-causar-que-named-agote-toda-la-memoria-disponible/
- www.clasesordenador.com/phicomm-k2g-v22-6-3-20-vulnerabilidad-de-inyeccion-de-comandos/
- www.clasesordenador.com/vulnerabilidades-de-secuencias-comandos-sitios-xss-complementos-wordpress/
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-02-01. Fecha publicación el 2023-02-01. Autor: Oscar olg Mapa del sitio Fuente: github