Casa > Ciber Noticias > CVE-2023-27524: Vulnerabilidad en el software Apache Superset
CYBER NOTICIAS

CVE-2023-27524: Vulnerabilidad en el software Apache Superset

por   |  Last Update:  |  0 Comentarios  

Los mantenedores del software de visualización de datos de código abierto Apache Superset han publicado actualizaciones para abordar una vulnerabilidad de seguridad, rastreado como CVE-2023-27524, con una puntuación CVSS de 8.9.

Esta vulnerabilidad, que está presente en versiones 2.0.1 y antes, es causado por una configuración predeterminada insegura que podría resultar en ejecución remota de código. Explotando la SECRET_KEY predeterminada, los actores maliciosos podrían obtener acceso a recursos no autorizados en instalaciones del software expuestas a Internet.

CVE-2023-27524- Vulnerabilidad en el software Apache Superset

CVE-2023-27524 Resumen técnico

Según la descripción oficial de la base de datos nacional de vulnerabilidades, “Ataques de validación de sesión en versiones de Apache Superset hasta 2.0.1 inclusive” es posible. Si la instalación siguió las instrucciones y cambió el valor predeterminado para la configuración SECRET_KEY, entonces se evita el acceso no autorizado de los recursos por parte de los atacantes. Sin embargo, las instalaciones que no han modificado la SECRET_KEY configurada por defecto pueden ser vulnerables a este tipo de ataque.




naveen sunkavally, investigador de seguridad en Horizon3.ai, caracterizó el problema como una configuración predeterminada peligrosa en Apache Superset que permite que un atacante no autorizado obtenga la ejecución remota de código, acumular calificaciones, y poner en peligro los datos. Cabe señalar que el error no afecta las situaciones de superconjunto que han cambiado el valor predeterminado para la configuración de SECRET_KEY a una cadena arbitraria más confiable criptográficamente..

Más detalles técnicos están disponibles en el informe original.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Artículos Relacionados:
  1. Grave Java deserialización vulnerabilidad descubierta en 70 Bibliotecas En el principio de 2015, los investigadores de seguridad Gabriel Lawrence...
  2. CVE-2021-41773: Vulnerabilidad de Apache explotada en la naturaleza Apache acaba de parchear dos vulnerabilidades de seguridad (CVE-2021-41773 y CVE-2021-33193) en...
  3. CVE-2019-0211: Una vulnerabilidad en el servidor Apache HTTP CVE-2019-0211 is a new vulnerability in Apache HTTP Server software....
  4. CVE-2020-9497: Vulnerabilidad grave de Apache Guacamole de día cero encontrada La puerta de enlace de escritorio remoto Apache Guacamole ha sido identificada para....
  5. ¿Cuáles son los smartphones más seguros Precio Puntuación total OS VPN CIFRADO DE PISTA DE BLOQUE DE HUELLAS 1...
  6. CVE-2018-11776: Nueva falla crítica puntales podría ser peor que Equifax Se ha descubierto una nueva vulnerabilidad, del tipo que....
  7. Apple corrige CVE-2023-28206, CVE-2023-28205 Días cero Apple has released emergency updates to address two actively exploited...
  8. El malware Zerobot ahora aprovecha las vulnerabilidades de Apache (CVE-2021-42013) The Zerobot botnet is making the headlines once again in...

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo