Vulnerabilidad en KNIME Analytics Platform (CVE-2023-5562)

Una configuración predeterminada insegura en KNIME Analytics Platform anterior a 5.2.0 permite un ataque de Cross-Site Scripting (XSS). Cuando se utiliza KNIME Analytics Platform como ejecutor de KNIME Server o KNIME Business Hub, varios nodos de vista basados en JavaScript no sanitizan los datos que se muestran de forma predeterminada. Si los datos a mostrar contienen JavaScript, este código se ejecuta en el navegador y puede realizar cualquier operación que el usuario actual pueda realizar de forma silenciosa. KNIME Analytics Platform ya cuenta con opciones de configuración con las que se puede activar la sanitización de datos, consulte https://docs.knime.com/latest/webportal_admin_guide/index.html#html-sanitization-webportal, https://docs.knime.com/ último/webportal_admin_guide/index.html#html-sanitización-webportal. Sin embargo, están desactivados de forma predeterminada, lo que permite ataques de Cross-Site Scripting (XSS). KNIME Analytics Platform 5.2.0 habilitará la sanitización de forma predeterminada. Para todas las versiones anteriores, recomendamos a los usuarios agregar las configuraciones correspondientes al knime.ini del ejecutor.