发布日期：2024-12-03
更新日期：2025-01-20

受影响系统：

Vitess Vitess

描述：

---

CVE(CAN) ID: CVE-2024-53257

Vitess是Vitess开源的一个用于水平扩展MySQL的数据库集群系统。
Vitess存在跨站脚本漏洞，该漏洞源于vtgate和vttablet的/debug/querylogz和/debug/env页面没有正确转义用户输入，攻击者利用该漏洞可以实施跨站脚本攻击，通过Vitess执行的查询将HTML随意写入监控页面。

<**>

建议：

---

厂商补丁：

Vitess
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/vitessio/vitess/commit/2b71d1b5f8ca676beeab2875525003cd45096217

浏览次数：165
严重程度：0（网友投票）