Apache Superset中存在严重漏洞

Apache Superset中存在严重漏洞_第1张图片 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

开源数据可视化和数据探索平台Apache Superset 发布七份安全公告。

Apache Superset 是一款现代数据探索和数据可视化平台,能够为很多团队替代或扩充专有的业务情报工具,能够很好地集成多种数据来源。

Apache Superset 的SQL Alchemy 连接器中存在一个严重的SQL注入漏洞 (CVE-2022-41703),影响版本1.5.2及之前版本以及2.0.0版本。安全公告指出,该漏洞可导致“对特定数据库具有读权限的认证用户将子查询添加至同样数据库WHERE和HAVING字段参考表单中,而虽然用户禁用了该特性标记 ‘ALLOW_ADHOC_SUBQUERY’(默认值),但仍不应该具有该权限”。

Superset 1.5.3和2.0.1版本修复了该漏洞。目前并不存在临时的应变措施,Superset开发人员将其评级为“严重”级别,并建议用户尽快安装更新。

Superset中还存在两个中危漏洞,它们分别是CSRF 漏洞CVE-2022-43719和开放重定向漏洞CVE-2022-43721。另外还修复了四个低危漏洞:

  • CVE-2022-43720:具有CSS模板写权限的认证攻击者可创建具有特定HTML标签的记录,当用户删除该记录时,这些标签无法由显示的toast报文逃逸。

  • CVE-2022-43718:上传数据表格未正确渲染用户输入,导致具有数据库连接更新权限的认证用户可执行XSS攻击。

  • CVE-2022-45438:当直接启用特性标记DASHBOARD_CACHE(默认禁用)时,该系统允许未认证用户使用REST API Get端点访问仪表盘配置元数据。

  • CVE-2022-43717:仪表盘渲染未能充分清理markdown组件的内容,可能导致具有创建仪表盘权限的认证用户执行XSS攻击。

这些问题由Positive Technologies 公司和Sunny Alexli 发现,影响1.5.2及之前版本和2.0.0版本,已在1.5.3和2.0.1版本中修复。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

Apache ShardingSphere身份认证绕过漏洞(CVE-2022-45347)安全风险通告

速修复!Apache Commons Text 存在严重漏洞,堪比Log4Shell

Apache开源项目 Xalan-J 整数截断可导致任意代码执行

速修复!这个严重的 Apache Struts RCE 漏洞补丁不完整

Apache Cassandra 开源数据库软件修复高危RCE漏洞

原文链接

https://securityonline.info/cve-2022-41703-apache-superset-sql-injection-vulnerability/

题图:Pixabay License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

394527934c9ddc4e8952deae3367b4a8.jpeg

Apache Superset中存在严重漏洞_第2张图片

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   Apache Superset中存在严重漏洞_第3张图片 觉得不错,就点个 “在看” 或 "赞” 吧~

你可能感兴趣的:(apache)