← 戻る
Webアプリケーション
CVE-2026-9029 high CVSS 7.3

The geomap panel's XYZ tile layer has a sanitize-then-interpolate ordering bug....

概要

The geomap panel's XYZ tile layer has a sanitize-then-interpolate ordering bug....

AI要約 openai / gpt-4o

GrafanaのgeomapパネルのXYZタイルレイヤーにおいて、文字列のサニタイズ処理とテンプレートの置換処理の順序に不備があり、XSS攻撃が可能です。この問題はCVE-2023-0507の修正策を回避するもので、悪意あるエディターはダッシュボードを開く全ユーザーに対してXSSペイロードを実行することができます。
❓ 何が問題か
geomapパネルのXYZタイルレイヤーでの文字列サニタイズとテンプレート処理順番の不備
📍 影響範囲
GrafanaのgeomapパネルのXYZタイルレイヤー
🔥 重要度
CVE-2023-0507の修正を回避し、任意のXSSペイロードを実行可能
🔧 修正方法
sanitizeTextPanelContent()をgetTemplateSrv().replace()の後に実行するように修正が必要
🛡️ 暫定回避
ダッシュボードに信頼できないユーザーがアクセスできないようにする
🔍 検知方法
ダッシュボードでの意図しないスクリプトの実行を確認する

参照URL

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →