【复现】Apache Superset 身份认证绕过漏洞(CVE-2023-27524)的风险通告
2023-4-26 11:30:36 Author: 赛博昆仑CERT(查看原文) 阅读量:183 收藏

-赛博昆仑漏洞安全通告-

Apache Superset 身份认证绕过漏洞(CVE-2023-27524)的风险通告

漏洞描述

Apache Superset 是一款现代化的开源大数据工具,也是企业级商业智能 Web 应用,用于数据探索分析和数据可视化。它提供了简单易用的无代码可视化构建器和声称是最先进的 SQL 编辑器,用户可以使用这些工具快速地构建数据仪表盘。

近日,赛博昆仑CERT检测到Apache Superset存在身份认证绕过漏洞(CVE-2023-27524)并且细节已被公开,未经授权的攻击者可根据默认配置的SECRET_KEY伪造成管理员用户访问Apache Superset。

漏洞名称

Apache Superset 身份认证绕过漏洞

漏洞公开编号

CVE-2023-27524

昆仑漏洞库编号

CYKL-2023-005537

漏洞类型

身份认证绕过

公开时间

2023-04-25

漏洞等级

高危

评分

8.9

漏洞所需权限

无权限要求

漏洞利用难度

PoC状态

已公开

EXP状态

已公开

漏洞细节

已公开

在野利用

未知

影响版本
Apache Superset <= 2.0.1
利用条件
使用该应用的默认配置,未更改默认配置的SECRET_KEY。
漏洞复现
目前赛博昆仑CERT已确认漏洞原理,复现截图如下:

防护措施

  • 临时缓解措施

修改配置中的SECRET_KEY值,不使用默认配置的SECRET_KEY。
  • 修复措施
目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本2.1以上。
下载地址:https://github.com/apache/superset
技术咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。

联系邮箱:[email protected]
公众号:赛博昆仑CERT
参考链接
https://superset.apache.org/
https://lists.apache.org/thread/n0ftx60sllf527j7g11kmt24wvof8xyk
时间线
2023年4月25日,Apache Superset 发布漏洞公告

2023年4月26日,赛博昆仑CERT公众号发布漏洞风险通告


文章来源: http://mp.weixin.qq.com/s?__biz=MzkxMDQyMTIzMA==&mid=2247484108&idx=1&sn=12fb5091b448db77890daef856f0f1bb&chksm=c12aff4df65d765b8947e704dfcbdd90773066c952eb131d18f2c796af5cede3489e30fa4f0b#rd
如有侵权请联系:admin#unsafe.sh