Vedligeholdere af Apache Superset open source datavisualiseringssoftware har udstedt opdateringer for at løse en sikkerhedssårbarhed, sporet som CVE-2023-27524, med en CVSS score på 8.9.
Denne sårbarhed, som findes i versioner 2.0.1 og tidligere, er forårsaget af en usikker standardkonfiguration, der kan resultere i fjernkørsel af programkode. Ved at udnytte standarden SECRET_KEY, ondsindede aktører kan få adgang til uautoriserede ressourcer på internet-eksponerede installationer af softwaren.
CVE-2023-27524 Teknisk oversigt
Ifølge den officielle beskrivelse af National Vulnerability Database, “Sessionsvalideringsangreb i Apache Superset-versioner til og med 2.0.1” er mulige. Hvis installationen har fulgt instruktionerne og ændret standardværdien for SECRET_KEY-konfigurationen, så forhindres angribernes uautoriserede adgang til ressourcer. Men, installationer, der ikke har ændret den standardkonfigurerede SECRET_KEY, kan være sårbare over for denne type angreb.
Naveen Sunkavally, sikkerhedsforsker hos Horizon3.ai, karakteriserede problemet som en farlig standardopsætning i Apache Superset, der tillader en uautoriseret angriber at få fjernudførelse af kode, akkumulere kvalifikationer, og fare data. Det skal bemærkes, at fejlen ikke påvirker Superset-situationer, der har ændret standardværdien for SECRET_KEY-konfigurationen til en mere kryptografisk pålidelig vilkårlig streng.
Yderligere tekniske detaljer er tilgængelige i den oprindelige rapport.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: