Casa > Ciber Noticias > CVE-2023-27524: Vulnerabilidad en el software Apache Superset
CYBER NOTICIAS

CVE-2023-27524: Vulnerabilidad en el software Apache Superset

por   |  Last Update:  |  0 Comentarios  

Los mantenedores del software de visualización de datos de código abierto Apache Superset han publicado actualizaciones para abordar una vulnerabilidad de seguridad, rastreado como CVE-2023-27524, con una puntuación CVSS de 8.9.

Esta vulnerabilidad, que está presente en versiones 2.0.1 y antes, es causado por una configuración predeterminada insegura que podría resultar en ejecución remota de código. Explotando la SECRET_KEY predeterminada, los actores maliciosos podrían obtener acceso a recursos no autorizados en instalaciones del software expuestas a Internet.

CVE-2023-27524- Vulnerabilidad en el software Apache Superset

CVE-2023-27524 Resumen técnico

Según la descripción oficial de la base de datos nacional de vulnerabilidades, “Ataques de validación de sesión en versiones de Apache Superset hasta 2.0.1 inclusive” es posible. Si la instalación siguió las instrucciones y cambió el valor predeterminado para la configuración SECRET_KEY, entonces se evita el acceso no autorizado de los recursos por parte de los atacantes. Sin embargo, las instalaciones que no han modificado la SECRET_KEY configurada por defecto pueden ser vulnerables a este tipo de ataque.




naveen sunkavally, investigador de seguridad en Horizon3.ai, caracterizó el problema como una configuración predeterminada peligrosa en Apache Superset que permite que un atacante no autorizado obtenga la ejecución remota de código, acumular calificaciones, y poner en peligro los datos. Cabe señalar que el error no afecta las situaciones de superconjunto que han cambiado el valor predeterminado para la configuración de SECRET_KEY a una cadena arbitraria más confiable criptográficamente..

Más detalles técnicos están disponibles en el informe original.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Artículos Relacionados:
  1. Grave Java deserialización vulnerabilidad descubierta en 70 Bibliotecas En el principio de 2015, los investigadores de seguridad Gabriel Lawrence...
  2. CVE-2021-41773: Vulnerabilidad de Apache explotada en la naturaleza Apache acaba de parchear dos vulnerabilidades de seguridad (CVE-2021-41773 y CVE-2021-33193) en...
  3. CVE-2020-9497: Vulnerabilidad grave de Apache Guacamole de día cero encontrada La puerta de enlace de escritorio remoto Apache Guacamole ha sido identificada para....
  4. CVE-2023-51467 en Apache OfBiz pone en riesgo a las empresas Apache OFBiz, una planificación de recursos empresariales de código abierto (ERP) sistema, tiene...
  5. CVE-2019-0211: Una vulnerabilidad en el servidor Apache HTTP CVE-2019-0211 is a new vulnerability in Apache HTTP Server software....
  6. CVE-2018-11776: Nueva falla crítica puntales podría ser peor que Equifax Se ha descubierto una nueva vulnerabilidad, del tipo que....
  7. La lista de relojes inteligentes más seguros Este es un Top completo 10 lista que resume la...
  8. El malware Zerobot ahora aprovecha las vulnerabilidades de Apache (CVE-2021-42013) The Zerobot botnet is making the headlines once again in...

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo