Zuhause > Cyber ​​Aktuelles > CVE-2023-27524: Schwachstelle in Apache Superset Software
CYBER NEWS

CVE-2023-27524: Schwachstelle in Apache Superset Software

durch   |  Letztes Update:  |  0 Kommentare  

Die Betreuer der Open-Source-Datenvisualisierungssoftware Apache Superset haben Updates herausgegeben, um eine Sicherheitslücke zu schließen, verfolgt als CVE-2023-27524, mit einem CVSS-Score von 8.9.

Diese Schwachstelle, die in Versionen vorhanden ist 2.0.1 und vor, wird durch eine unsichere Standardkonfiguration verursacht, die dazu führen kann Remotecodeausführung. Durch Ausnutzen des standardmäßigen SECRET_KEY, böswillige Akteure könnten Zugriff auf nicht autorisierte Ressourcen auf internetexponierten Installationen der Software erhalten.

CVE-2023-27524- Schwachstelle in Apache Superset Software

CVE-2023-27524 Technische Übersicht

Gemäß der offiziellen Beschreibung der National Vulnerability Database, “Sitzungsvalidierungsangriffe in Apache Superset-Versionen bis einschließlich 2.0.1” sind möglich. Wenn die Installation den Anweisungen gefolgt ist und den Standardwert für die SECRET_KEY config, dann wird der unbefugte Zugriff auf Ressourcen durch Angreifer verhindert. Jedoch, Installationen, die den standardmäßig konfigurierten SECRET_KEY nicht geändert haben, sind möglicherweise anfällig für diese Art von Angriff.




Naveen Sunkavally, Sicherheitsforscher bei Horizon3.ai, charakterisierte das Problem als eine gefährliche Standardkonfiguration in Apache Superset, die es einem nicht autorisierten Angreifer ermöglicht, Code aus der Ferne auszuführen, Qualifikationen sammeln, und Daten gefährden. Es sollte beachtet werden, dass der Fehler keine Auswirkungen auf Superset-Situationen hat, die den Standardwert für die SECRET_KEY-Konfiguration in eine kryptografisch zuverlässigere willkürliche Zeichenfolge geändert haben.

Weitere technische Details finden Sie in der ursprüngliche Bericht.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Zusammenhängende Posts:
  1. Serious Java-Deserialisierung Sicherheitsanfälligkeit in Uncovered 70 Bibliotheken Anfang 2015, die Sicherheitsforscher Gabriel Lawrence...
  2. CVE-2021-41773: Apache-Sicherheitslücke in freier Wildbahn ausgenutzt Apache hat gerade zwei Sicherheitslücken gepatcht (CVE-2021-41773 und CVE-2021-33193) in...
  3. CVE-2020-9497: Schwere Apache Guacamole Zero-Day-Sicherheitslücke gefunden Das Remote-Desktop-Gateway Apache Guacamole wurde identifiziert, um...
  4. CVE-2023-51467 in Apache OfBiz gefährdet Unternehmen Apache OFBiz, ein Open-Source-Enterprise-Resource-Planning (ERP) System, hat...
  5. CVE-2019-0211: Sicherheitslücke in Apache HTTP Server CVE-2019-0211 is a new vulnerability in Apache HTTP Server software....
  6. CVE-2018-11776: New Critical Struts Flaw könnte schlimmer sein als Equifax A new vulnerability has been uncovered – the kind that...
  7. Die Liste der sichersten Smartwatches Dies ist ein umfassendes Top 10 Liste, die die...
  8. Zerobot-Malware nutzt jetzt Apache-Schwachstellen aus (CVE-2021-42013) The Zerobot botnet is making the headlines once again in...

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau