从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:Flowise Stored Cross-Site Scripting 2. 漏洞等级:Critical 3. CVE ID:CVE-2024-9148 4. Tenable Advisory ID:TRA-2024-40 5. 受影响的产品: - Flowise < 2.1.1 - Flowise Chat Embed < 2.0.0 6. 风险因素:Critical 7. 漏洞描述: - Flowise使用Flowise Chat Embed JavaScript库在网站上显示Flowise聊天机器人。 - Flowise Chat Embed版本在2.0.0之前缺乏对用户输入的净化,允许远程和未授权用户注入恶意JavaScript并执行存储型跨站脚本攻击。 - Flowise的核心功能包括创建聊天流程,这些流程可以被翻译成可以在网站上嵌入的聊天机器人。 8. 解决方案: - 升级到Flowise 2.1.1或更高版本。 - 如果仅使用Flowise Chat Embed库,则升级到2.0.0或更高版本。 9. 披露时间线: - 2024年6月13日:漏洞发现。 - 2024年6月20日:Tenable尝试联系供应商。 - 2024年6月24日:Tenable使用GitHub仓库的私有安全功能尝试通知项目团队。 - 2024年7月15日:项目团队回复GitHub问题。 - 2024年8月13日:Tenable请求GitHub问题的状态更新。 - 2024年9月15日:项目团队回复GitHub问题,提供即将修复的详细信息。 - 2024年9月20日:Tenable注意到修复已发布在FlowiseChatEmbed的2.0.0版本中。 这些信息提供了关于漏洞的详细描述、受影响的产品、风险因素、解决方案以及披露时间线。