一、漏洞概述
近日,绿盟科技CERT监测发现Apache Superset官方修复了一个身份验证绕过漏洞。由于用户在默认安装过程中,未对SECRET_KEY的默认值进行更改,未经身份验证的攻击者通过伪造管理员身份进行访问后台,目前该漏洞的细节已被公开披露。请受影响的用户尽快采取措施进行防护。
Apache Superset是一个开源的数据可视化和数据探测平台,它基于Python构建,使用了一些类似于Django和Flask的Python web框架。提供了一个用户友好的界面,可以轻松地创建和共享仪表板、查询和可视化数据,也可以集成到其他应用程序中。
CVE-2023-27524的漏洞状态:
| 漏洞细节 | 漏洞PoC | 漏洞EXP | 在野利用 |
| 已公开 | 已公开 | 未公开 | 暂不存在 |
参考链接:https://lists.apache.org/thread/n0ftx60sllf527j7g11kmt24wvof8xyk
二、影响范围
受影响范围
- Apache Superset <= 2.0.1
不受影响范围
- Apache Superset >= 2.1.0
三、漏洞防护
- 官方升级
目前官方已发布安全版本修复此漏洞,建议受影响的用户及时升级防护:
https://downloads.apache.org/superset/
- 其他防护措施
若用户无法对产品进行升级,可参考以下链接,通过修改SECRET_KEY的默认值来规避该漏洞:
https://superset.apache.org/docs/installation/configuring-superset/#secret_key-rotation
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。