CVE-2022-28889

Clickjacking in the web console

EPSS 1.6%CWE-1021

Em resumo

O console web do Apache Druid era vulnerável a clickjacking, onde atacantes poderiam enganar usuários a clicarem em botões ou links ocultos sobrepondo a página com camadas transparentes. Isso poderia levar a ações não autorizadas executadas sem o conhecimento do usuário.

Detalhe técnico

Vulnerabilidade de clickjacking no Druid versões 0.22.1 e anteriores devido à falta de headers anti-clickjacking (X-Frame-Options e Content-Security-Policy). Um atacante poderia criar uma página maliciosa que incorpora o console Druid em um iframe e sobrepor elementos transparentes para enganar usuários autenticados e induzi-los a realizar ações indesejadas. Mitigada na versão 0.23.0 com implementação correta de headers CSP.

Resumo gerado e traduzido por IA a partir da descrição oficial.

In Apache Druid 0.22.1 and earlier, the server did not set appropriate headers to prevent clickjacking. Druid 0.23.0 and later prevent clickjacking using the Content-Security-Policy header.

Produtos afetados

Apache Software Foundation · Apache Druid

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://lists.apache.org/thread/t3nsq4crdr8wqgmj721d2wg6pf26s5cw