CVE-2023-40610: Incorrect Authorization and possible privilege escalation in Apache Superset
Severity: HIGH
CVSSv3 Score: 8.8
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Mô tả:
Apache Superset là một công cụ khám phá và trực quan hoá dữ liệu mã nguồn mở được viết bằng Python và dựa trên nền tảng Flask web framework.
Gần đây, lỗ hổng mới định danh CVE-2023-40610 được tìm thấy trong Apache Superset liên quan tới lỗi uỷ quyền không đúng. Kẻ tấn công có thể leo thang đặc quyền và can thiệp vào dữ liệu xác thực, uỷ quyền bằng các câu lệnh CTE SQL độc hại.
Hiện tại mã khai thác chưa được công bố và lỗ hổng chỉ có thể khai thác được nếu server dùng cấu hình mặc định “examples” database connection, cho phép kẻ tấn công truy cập examples schema và metadata database.
Affected versions:
Tất cả các phiên bản thấp hơn 2.1.2
Unaffected version:
Version 2.1.2
Cách khắc phục:
Các system admin cần nâng cấp Apache Superset lên version 2.1.2 hoặc cao hơn.
Tham khảo:
https://security.snyk.io/vuln/SNYK-PYTHON-APACHESUPERSET-6092413
https://nvd.nist.gov/vuln/detail/CVE-2023-40610