Casa > Cyber ​​Notizie > CVE-2023-27524: Vulnerabilità nel software Apache Superset
CYBER NEWS

CVE-2023-27524: Vulnerabilità nel software Apache Superset

I manutentori del software di visualizzazione dei dati open source Apache Superset hanno rilasciato aggiornamenti per affrontare una vulnerabilità di sicurezza, tracciato come CVE-2023-27524, con un punteggio di CVSS 8.9.

Questa vulnerabilità, che è presente nelle versioni 2.0.1 e prima, è causato da una configurazione predefinita non sicura che potrebbe comportare esecuzione di codice remoto. Sfruttando il SECRET_KEY predefinito, attori malintenzionati potrebbero ottenere l'accesso a risorse non autorizzate su installazioni del software esposte a Internet.

CVE-2023-27524- Vulnerabilità nel software Apache Superset

CVE-2023-27524 Panoramica tecnica

Secondo la descrizione ufficiale del National Vulnerability Database, “Attacchi di convalida della sessione nelle versioni Apache Superset fino alla 2.0.1 inclusa” sono possibili. Se l'installazione ha seguito le istruzioni e modificato il valore predefinito per SECRET_KEY config, quindi viene impedito l'accesso non autorizzato alle risorse da parte di aggressori. Tuttavia, le installazioni che non hanno modificato la SECRET_KEY configurata per impostazione predefinita potrebbero essere vulnerabili a questo tipo di attacco.




Naveen Sunkavally, ricercatore di sicurezza presso Horizon3.ai, ha caratterizzato il problema come una pericolosa configurazione predefinita in Apache Superset che consente a un utente malintenzionato non autorizzato di ottenere l'esecuzione di codice in modalità remota, accumulare qualifiche, e mettere in pericolo i dati. Va notato che il bug non influisce sulle situazioni Superset che hanno modificato il valore predefinito per la configurazione SECRET_KEY in una stringa arbitraria crittograficamente più affidabile.

Ulteriori dettagli tecnici sono disponibili in il report originale.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo