各版本修复的 CVE
版本 4.1.2
| CVE | 标题 | 受影响版本 |
|---|---|---|
| CVE-2025-27696 | 不当授权导致资源所有权被接管 | < 4.1.2 |
| CVE-2025-48912 | 通过 SQL 注入绕过行级安全的不当授权 | < 4.1.2 |
版本 4.1.0
| CVE | 标题 | 受影响版本 |
|---|---|---|
| CVE-2024-53947 | 不当的 SQL 授权,针对特定 PostgreSQL 函数的解析 | < 4.1.0 |
| CVE-2024-53948 | 错误冗余信息暴露分析数据库元数据 | < 4.1.0 |
| CVE-2024-53949 | 当 FAB_ADD_SECURITY_API 启用时,低权限用户能够创建角色 | < 4.1.0 |
| CVE-2024-55633 | SQLLab 不当的只读查询验证允许未经授权的写入访问 | < 4.1.0 |
版本 4.0.2
| CVE | 标题 | 受影响版本 |
|---|---|---|
| CVE-2024-39887 | 不当的 SQL 授权 | < 4.0.1 |
版本 3.1.3, 4.0.1
| CVE | 标题 | 受影响版本 |
|---|---|---|
| CVE-2024-34693 | 服务器任意文件读取 | < 3.1.3, >= 4.0.0, < 4.0.1 |
版本 3.1.2
| CVE | 标题 | 受影响版本 |
|---|---|---|
| CVE-2024-28148 | Explore REST API 上数据源授权不正确 | < 3.1.2 |
版本 3.0.4, 3.1.1
| CVE | 标题 | 受影响版本 |
|---|---|---|
| CVE-2024-27315 | 警报中不当的错误处理 | < 3.0.4, >= 3.1.0, < 3.1.1 |
| CVE-2024-24773 | SQL 语句验证不当导致数据未经授权访问 | < 3.0.4, >= 3.1.0, < 3.1.1 |
| CVE-2024-24772 | 嵌入式上下文中自定义 SQL 的不当中和 | < 3.0.4, >= 3.1.0, < 3.1.1 |
| CVE-2024-24779 | 创建新数据集时不当的数据授权 | < 3.0.4, >= 3.1.0, < 3.1.1 |
| CVE-2024-26016 | 仪表板和图表导入时不当的授权验证 | < 3.0.4, >= 3.1.0, < 3.1.1 |
版本 3.0.3
| CVE | 标题 | 受影响版本 |
|---|---|---|
| CVE-2023-49657 | 仪表板标题和图表标题中存储型 XSS | < 3.0.3 |
版本 3.0.2, 2.1.3
| CVE | 标题 | 受影响版本 |
|---|---|---|
| CVE-2023-46104 | 通过 ZIP 炸弹导致不受控制的资源消耗 | < 2.1.3, >= 3.0.0, < 3.0.2 |
| CVE-2023-49736 | where_in JINJA 宏中的 SQL 注入 | < 2.1.3, >= 3.0.0, < 3.0.2 |
| CVE-2023-49734 | 权限提升漏洞 | < 2.1.3, >= 3.0.0, < 3.0.2 |
版本 3.0.0
| CVE | 标题 | 受影响版本 |
|---|---|---|
| CVE-2023-42502 | 开放重定向漏洞 | < 3.0.0 |
| CVE-2023-42505 | 数据库连接详情敏感信息泄露 | < 3.0.0 |
版本 2.1.3
| CVE | 标题 | 受影响版本 |
|---|---|---|
| CVE-2023-42504 | 缺少速率限制可能导致拒绝服务 | < 2.1.3 |
版本 2.1.2
| CVE | 标题 | 受影响版本 |
|---|---|---|
| CVE-2023-40610 | 默认示例数据库的权限提升 | < 2.1.2 |
| CVE-2023-42501 | Gamma 角色中不必要的读取权限 | < 2.1.2 |
| CVE-2023-43701 | API 端点上的存储型 XSS | < 2.1.2 |
版本 2.1.1
| CVE | 标题 | 受影响版本 |
|---|---|---|
| CVE-2023-36387 | 低权限用户不当的 API 权限 | < 2.1.1 |
| CVE-2023-36388 | 低权限用户不当的 API 权限导致 SSRF | < 2.1.1 |
| CVE-2023-27523 | Jinja 模板化查询中不当的数据权限验证 | < 2.1.1 |
| CVE-2023-27526 | 导入图表时不当的授权检查 | < 2.1.1 |
| CVE-2023-39264 | 默认启用堆栈跟踪 | < 2.1.1 |
| CVE-2023-39265 | 可能未经授权注册 SQLite 数据库连接 | < 2.1.1 |
| CVE-2023-37941 | 元数据数据库写入访问可能导致远程代码执行 | < 2.1.1 |
| CVE-2023-32672 | SQL 解析器边缘情况绕过数据访问授权 | < 2.1.1 |
版本 2.1.0
| CVE | 标题 | 受影响版本 |
|---|---|---|
| CVE-2023-25504 | 导入数据集时可能存在 SSRF | < 2.1.0 |
| CVE-2023-27524 | 使用默认 SECRET_KEY 时会话验证漏洞 | < 2.1.0 |
| CVE-2023-27525 | Gamma 角色不正确的默认权限 | < 2.1.0 |
| CVE-2023-30776 | 数据库连接密码泄露 | < 2.1.0 |
版本 2.0.1
| CVE | 标题 | 受影响版本 |
|---|---|---|
| CVE-2022-41703 | 临时子句中的 SQL 注入漏洞 | < 2.0.1 或 < 1.5.2 |
| CVE-2022-43717 | 仪表板上的跨站脚本 (XSS) | < 2.0.1 或 < 1.5.2 |
| CVE-2022-43718 | 上传表单中的跨站脚本 (XSS) 漏洞 | < 2.0.1 或 < 1.5.2 |
| CVE-2022-43719 | 接受、请求访问时的跨站请求伪造 (CSRF) | < 2.0.1 或 < 1.5.2 |
| CVE-2022-43720 | 用户输入渲染不当 | < 2.0.1 或 < 1.5.2 |
| CVE-2022-43721 | 开放重定向漏洞 | < 2.0.1 或 < 1.5.2 |
| CVE-2022-45438 | 仪表板元数据信息泄露 | < 2.0.1 或 < 1.5.2 |