Accueil > Nouvelles Cyber > CVE-2023-27524: Vulnérabilité dans le logiciel Apache Superset
CYBER NOUVELLES

CVE-2023-27524: Vulnérabilité dans le logiciel Apache Superset

Les mainteneurs du logiciel de visualisation de données open source Apache Superset ont publié des mises à jour pour corriger une vulnérabilité de sécurité, suivi en tant que CVE-2023-27524, avec un score CVSS de 8.9.

Cette vulnérabilité, qui est présent dans les versions 2.0.1 et avant, est causé par une configuration par défaut non sécurisée qui pourrait entraîner exécution de code distant. En exploitant la SECRET_KEY par défaut, des acteurs malveillants pourraient accéder à des ressources non autorisées sur des installations du logiciel exposées à Internet.

CVE-2023-27524- Vulnérabilité dans le logiciel Apache Superset

Aperçu technique CVE-2023-27524

Selon la description officielle de la base de données nationale sur les vulnérabilités, “Attaques de validation de session dans les versions d'Apache Superset jusqu'à 2.0.1 incluses” sont possibles. Si l'installation a suivi les instructions et modifié la valeur par défaut de la configuration SECRET_KEY, alors l'accès non autorisé aux ressources par des attaquants est empêché. Cependant, les installations qui n'ont pas modifié la SECRET_KEY configurée par défaut peuvent être vulnérables à ce type d'attaque.




Naveen Sunkavally, chercheur en sécurité chez Horizon3.ai, a caractérisé le problème comme une configuration par défaut périlleuse dans Apache Superset qui permet à un attaquant non autorisé d'obtenir l'exécution de code à distance, accumuler des diplômes, et mettre en danger les données. Il convient de noter que le bogue n'a pas d'incidence sur les situations de surensemble qui ont modifié la valeur par défaut de la configuration SECRET_KEY en une chaîne arbitraire plus fiable sur le plan cryptographique..

D'autres détails techniques sont disponibles dans le rapport initial.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord