anchore_overrides,nvd
Retool
Уязвимости
2
Эксплуатируемые
0
Критический
0
Высокий
1
Топ продуктов
Топ уязвимостей
CVE-2025-47424Самостоятельно размещаемые версии Retool до версии 3.196.0 уязвимы для инъекций заголовка Host. Когда переменная среды BASE_DOMAIN не установлена, заголовок HTTP host может быть изменен [1].
Уязвимость может быть устранена немедленно путем правильной настройки переменной среды BASE_DOMAIN на полный URL развертывания, например https://retool.example.com. Начиная с версии 3.196.0, эта переменная среды будет обязательной для экземпляра при запуске.
Тип уязвимости: CWE-1289: Неправильная проверка небезопасной эквивалентности во входных данных.
Оценка CVSS 3.x: 7.1
Вектор CVSS 3.x: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:L/E:P/RL:O/RC:C
Оценка CVSS 4.x: 5.3
Вектор CVSS 4.x: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:H/VI:L/VA:L/SC:N/SI:N/SA:N/E:P/R:U
Источники:
- [1] https://docs.retool.com/disclosures/cve-2025-47424
CVE-2024-42056Retool (самостоятельно размещенное предприятие) до версии 3.40.0 вставляет учетные данные аутентификации ресурсов в отправленные данные. Учетные данные для пользователей с разрешениями «Использовать» можно обнаружить (аутентифицированным злоумышленником) через конечную точку /api/resources. Самая ранняя затронутая версия — 3.18.1.