このウェブページのスクリーンショットから、以下の脆弱性情報の重要ポイントを確認できます: 1. 脆弱性名称:Lightdash - 保管型クロスサイトスクリプティング(Stored Cross-Site Scripting) 2. 脆弱性の深刻度:High 3. 脆弱性の説明:Lightdashバージョン0.1024.6のmarkdownダッシュボードおよびダッシュボードコメント機能において、複数の保管型クロスサイトスクリプティング(XSS)脆弱性が存在します。認証済み攻撃者は悪意あるスクリプトを注入でき、これらはユーザーのセッションコンテキスト内で実行されます。 4. 影響を受けるバージョン:Lightdashバージョン0.1024.6 5. 修正バージョン:0.1042.2 6. 攻撃方法: - Markdown Dashboard:ダッシュボードを編集し、悪意あるペイロードを挿入して保存した後、ダッシュボードを閲覧することで実行される。 - Dashboard Comments:ダッシュボードのコメント機能を使用して新しいコメントを追加し、そのコメント中に悪意あるペイロードを挿入することで実行される。 7. 攻撃手順: - Markdown Dashboard:ログインしてダッシュボードを作成し、ペイロードを挿入して編集・保存、その後ダッシュボードを閲覧する。 - Dashboard Comments:ログインしてコメントを追加し、ペイロードを挿入、保存・閲覧する。 8. 攻撃の例:HTTPリクエストを通じてXSSペイロードを保存する方法を示している。 9. 詳細分析:攻撃はこの脆弱性を悪用するために、管理者または編集者の権限を有する必要があります。攻撃の成功は、ユーザーが影響を受けるページにアクセスすることに依存します。 10. ベンダー分析:ベンダーによると、問題の根本原因はmarkdownおよびコメントコンポーネントがスクリプトを実行してしまうことにあります。この問題はバージョン0.1042.2で修正されています。 11. 修正情報:markdownタイルとコメントの2つのパッチがそれぞれ修正されています。 12. タイムライン:報告日:2024年3月7日、修正日:2024年3月26日、公開日:2024年8月30日 これらの情報は、攻撃方法、修正プロセス、タイムラインを含め、Lightdashにおける保管型XSS脆弱性を詳細に記述しています。