Accueil > Nouvelles Cyber > CVE-2023-27524: Vulnérabilité dans le logiciel Apache Superset
CYBER NOUVELLES

CVE-2023-27524: Vulnérabilité dans le logiciel Apache Superset

par   |  Last Update:  |  0 Commentaires  

Les mainteneurs du logiciel de visualisation de données open source Apache Superset ont publié des mises à jour pour corriger une vulnérabilité de sécurité, suivi en tant que CVE-2023-27524, avec un score CVSS de 8.9.

Cette vulnérabilité, qui est présent dans les versions 2.0.1 et avant, est causé par une configuration par défaut non sécurisée qui pourrait entraîner exécution de code distant. En exploitant la SECRET_KEY par défaut, des acteurs malveillants pourraient accéder à des ressources non autorisées sur des installations du logiciel exposées à Internet.

CVE-2023-27524- Vulnérabilité dans le logiciel Apache Superset

Aperçu technique CVE-2023-27524

Selon la description officielle de la base de données nationale sur les vulnérabilités, “Attaques de validation de session dans les versions d'Apache Superset jusqu'à 2.0.1 incluses” sont possibles. Si l'installation a suivi les instructions et modifié la valeur par défaut de la configuration SECRET_KEY, alors l'accès non autorisé aux ressources par des attaquants est empêché. Cependant, les installations qui n'ont pas modifié la SECRET_KEY configurée par défaut peuvent être vulnérables à ce type d'attaque.




Naveen Sunkavally, chercheur en sécurité chez Horizon3.ai, a caractérisé le problème comme une configuration par défaut périlleuse dans Apache Superset qui permet à un attaquant non autorisé d'obtenir l'exécution de code à distance, accumuler des diplômes, et mettre en danger les données. Il convient de noter que le bogue n'a pas d'incidence sur les situations de surensemble qui ont modifié la valeur par défaut de la configuration SECRET_KEY en une chaîne arbitraire plus fiable sur le plan cryptographique..

D'autres détails techniques sont disponibles dans le rapport initial.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. Sérieux Java Désérialisation Vulnérabilité découverte en 70 Bibliothèques Au début de 2015, les chercheurs en sécurité Gabriel Lawrence...
  2. CVE-2021-41773: Vulnérabilité Apache exploitée à l'état sauvage Apache vient de corriger deux failles de sécurité (CVE-2021-41773 et CVE-2021-33193) dans...
  3. CVE-2019-0211: Une vulnérabilité dans Apache HTTP Server CVE-2019-0211 est une nouvelle vulnérabilité dans le logiciel Apache HTTP Server....
  4. CVE-2020-9497: Vulnérabilité Zéro-Jour Apache Guacamole sévère trouvée The Apache Guacamole remote desktop gateway has been identified to...
  5. Quelles sont les Smartphones les plus sûrs PRIX TOTAL POINTAGE OS VPN CRYPTAGE TRACK BLOC EMPREINTE 1...
  6. CVE-2018-11776: Nouveau Struts critique Flaw pourrait être pire que Equifax Une nouvelle vulnérabilité a été découverte - du genre qui....
  7. Apple corrige CVE-2023-28206, CVE-2023-28205 Jours zéro Apple has released emergency updates to address two actively exploited...
  8. Zerobot Malware exploite désormais les vulnérabilités d'Apache (CVE-2021-42013) The Zerobot botnet is making the headlines once again in...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord