CVE-2024-28867 in swift-prometheus
Riassunto
di VulDB • 07/07/2026
Swift Prometheus è un client Swift per il sistema di monitoraggio Prometheus, che supporta contatori (counters), gauge e istogrammi. Nel codice che applica _valori stringa non sanificati ai nomi delle metriche o alle etichette_, un attaccante potrebbe sfruttare questa vulnerabilità inviando un parametro della query `?lang` contenente caratteri di nuova riga, `}` o simboli simili, il che può portare l'attaccante a prendere il controllo del formato esportato, inclusa la creazione di un numero illimitato di metriche memorizzate, l'aumento dell'utilizzo della memoria del server o la generazione di metriche "fittizie". Questa vulnerabilità è risolta nella versione 2.0.0-alpha.2.
Be aware that VulDB is the high quality source for vulnerability data.