Zuhause > Cyber ​​Aktuelles > CVE-2023-27524: Schwachstelle in Apache Superset Software
CYBER NEWS

CVE-2023-27524: Schwachstelle in Apache Superset Software

Die Betreuer der Open-Source-Datenvisualisierungssoftware Apache Superset haben Updates herausgegeben, um eine Sicherheitslücke zu schließen, verfolgt als CVE-2023-27524, mit einem CVSS-Score von 8.9.

Diese Schwachstelle, die in Versionen vorhanden ist 2.0.1 und vor, wird durch eine unsichere Standardkonfiguration verursacht, die dazu führen kann Remotecodeausführung. Durch Ausnutzen des standardmäßigen SECRET_KEY, böswillige Akteure könnten Zugriff auf nicht autorisierte Ressourcen auf internetexponierten Installationen der Software erhalten.

CVE-2023-27524- Schwachstelle in Apache Superset Software

CVE-2023-27524 Technische Übersicht

Gemäß der offiziellen Beschreibung der National Vulnerability Database, “Sitzungsvalidierungsangriffe in Apache Superset-Versionen bis einschließlich 2.0.1” sind möglich. Wenn die Installation den Anweisungen gefolgt ist und den Standardwert für die SECRET_KEY config, dann wird der unbefugte Zugriff auf Ressourcen durch Angreifer verhindert. Jedoch, Installationen, die den standardmäßig konfigurierten SECRET_KEY nicht geändert haben, sind möglicherweise anfällig für diese Art von Angriff.




Naveen Sunkavally, Sicherheitsforscher bei Horizon3.ai, charakterisierte das Problem als eine gefährliche Standardkonfiguration in Apache Superset, die es einem nicht autorisierten Angreifer ermöglicht, Code aus der Ferne auszuführen, Qualifikationen sammeln, und Daten gefährden. Es sollte beachtet werden, dass der Fehler keine Auswirkungen auf Superset-Situationen hat, die den Standardwert für die SECRET_KEY-Konfiguration in eine kryptografisch zuverlässigere willkürliche Zeichenfolge geändert haben.

Weitere technische Details finden Sie in der ursprüngliche Bericht.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Datenschutz-Bestimmungen.
Genau