Les mainteneurs du logiciel de visualisation de données open source Apache Superset ont publié des mises à jour pour corriger une vulnérabilité de sécurité, suivi en tant que CVE-2023-27524, avec un score CVSS de 8.9.
Cette vulnérabilité, qui est présent dans les versions 2.0.1 et avant, est causé par une configuration par défaut non sécurisée qui pourrait entraîner exécution de code distant. En exploitant la SECRET_KEY par défaut, des acteurs malveillants pourraient accéder à des ressources non autorisées sur des installations du logiciel exposées à Internet.
Aperçu technique CVE-2023-27524
Selon la description officielle de la base de données nationale sur les vulnérabilités, “Attaques de validation de session dans les versions d'Apache Superset jusqu'à 2.0.1 incluses” sont possibles. Si l'installation a suivi les instructions et modifié la valeur par défaut de la configuration SECRET_KEY, alors l'accès non autorisé aux ressources par des attaquants est empêché. Cependant, les installations qui n'ont pas modifié la SECRET_KEY configurée par défaut peuvent être vulnérables à ce type d'attaque.
Naveen Sunkavally, chercheur en sécurité chez Horizon3.ai, a caractérisé le problème comme une configuration par défaut périlleuse dans Apache Superset qui permet à un attaquant non autorisé d'obtenir l'exécution de code à distance, accumuler des diplômes, et mettre en danger les données. Il convient de noter que le bogue n'a pas d'incidence sur les situations de surensemble qui ont modifié la valeur par défaut de la configuration SECRET_KEY en une chaîne arbitraire plus fiable sur le plan cryptographique..
D'autres détails techniques sont disponibles dans le rapport initial.