Clickjacking in the web console

La consola web de Apache Druid era vulnerable a clickjacking, donde los atacantes podrían engañar a los usuarios para que hicieran clic en botones o enlaces ocultos superponiendo el sitio web con capas transparentes. Esto podría llevar a acciones no autorizadas realizadas sin el conocimiento del usuario.

Vulnerabilidad de clickjacking en Druid versiones 0.22.1 y anteriores debido a la falta de headers anti-clickjacking (X-Frame-Options y Content-Security-Policy). Un atacante podría crear una página maliciosa que incruste la consola Druid en un iframe y superponer elementos transparentes para engañar a usuarios autenticados e inducirlos a realizar acciones no deseadas. Mitigado en la versión 0.23.0 con implementación adecuada de headers CSP.