I manutentori del software di visualizzazione dei dati open source Apache Superset hanno rilasciato aggiornamenti per affrontare una vulnerabilità di sicurezza, tracciato come CVE-2023-27524, con un punteggio di CVSS 8.9.
Questa vulnerabilità, che è presente nelle versioni 2.0.1 e prima, è causato da una configurazione predefinita non sicura che potrebbe comportare esecuzione di codice remoto. Sfruttando il SECRET_KEY predefinito, attori malintenzionati potrebbero ottenere l'accesso a risorse non autorizzate su installazioni del software esposte a Internet.
CVE-2023-27524 Panoramica tecnica
Secondo la descrizione ufficiale del National Vulnerability Database, “Attacchi di convalida della sessione nelle versioni Apache Superset fino alla 2.0.1 inclusa” sono possibili. Se l'installazione ha seguito le istruzioni e modificato il valore predefinito per SECRET_KEY config, quindi viene impedito l'accesso non autorizzato alle risorse da parte di aggressori. Tuttavia, le installazioni che non hanno modificato la SECRET_KEY configurata per impostazione predefinita potrebbero essere vulnerabili a questo tipo di attacco.
Naveen Sunkavally, ricercatore di sicurezza presso Horizon3.ai, ha caratterizzato il problema come una pericolosa configurazione predefinita in Apache Superset che consente a un utente malintenzionato non autorizzato di ottenere l'esecuzione di codice in modalità remota, accumulare qualifiche, e mettere in pericolo i dati. Va notato che il bug non influisce sulle situazioni Superset che hanno modificato il valore predefinito per la configurazione SECRET_KEY in una stringa arbitraria crittograficamente più affidabile.
Ulteriori dettagli tecnici sono disponibili in il report originale.