Name :Apache Superset Remote Code Execution Vulnerability
Severity :critical
CVE :CVE-2023-37941
Description :
Apache Superset is prone to a remote code execution vulnerability while parsing certain crafted Postgres requests. The vulnerability is due to the lack of proper checks on Postgres requests, leading to an exploitable remote code execution vulnerability. An attacker could exploit the vulnerability by sending crafted Postgres requests. A successful attack could lead to remote code execution.
Apache Superset在解析某些精心制作的Postgres请求时容易出现远程代码执行漏洞。该漏洞是由于对Postgres请求缺乏适当的检查,导致一个可利用的远程代码执行漏洞。攻击者可以通过发送精心制作的Postgres请求来利用该漏洞。成功的攻击可能导致远程代码执行。
Apache Superset是一个流行的开源数据探索和可视化工具。Superset服务器的漏洞可以让未经授权的攻击者能够获得对服务器的管理访问权限。
Apache Superset是用Python编写的,基于Flask web框架。CVE-2023-27524是由Flask SECRET_KEY值的不安全默认配置引起的。知道了Flask SECRET_KEY的值,攻击者就可以伪造会话cookie并以管理员权限登录到Superset。
Apache Superset还产生了两个新的高危漏洞,CVE-2023-39265和CVE-2023-37941,这两个漏洞在刚刚发布的Superset 2.1.1版本中得到了修复。所以强烈建议所有Superset用户升级到这个版本。
SO,赶快去升级Superset>=2.1.1 吧。