Casa > Cyber ​​Notizie > CVE-2023-27524: Vulnerabilità nel software Apache Superset
CYBER NEWS

CVE-2023-27524: Vulnerabilità nel software Apache Superset

da   |  Ultimo aggiornamento:  |  0 Commenti  

I manutentori del software di visualizzazione dei dati open source Apache Superset hanno rilasciato aggiornamenti per affrontare una vulnerabilità di sicurezza, tracciato come CVE-2023-27524, con un punteggio di CVSS 8.9.

Questa vulnerabilità, che è presente nelle versioni 2.0.1 e prima, è causato da una configurazione predefinita non sicura che potrebbe comportare esecuzione di codice remoto. Sfruttando il SECRET_KEY predefinito, attori malintenzionati potrebbero ottenere l'accesso a risorse non autorizzate su installazioni del software esposte a Internet.

CVE-2023-27524- Vulnerabilità nel software Apache Superset

CVE-2023-27524 Panoramica tecnica

Secondo la descrizione ufficiale del National Vulnerability Database, “Attacchi di convalida della sessione nelle versioni Apache Superset fino alla 2.0.1 inclusa” sono possibili. Se l'installazione ha seguito le istruzioni e modificato il valore predefinito per SECRET_KEY config, quindi viene impedito l'accesso non autorizzato alle risorse da parte di aggressori. Tuttavia, le installazioni che non hanno modificato la SECRET_KEY configurata per impostazione predefinita potrebbero essere vulnerabili a questo tipo di attacco.




Naveen Sunkavally, ricercatore di sicurezza presso Horizon3.ai, ha caratterizzato il problema come una pericolosa configurazione predefinita in Apache Superset che consente a un utente malintenzionato non autorizzato di ottenere l'esecuzione di codice in modalità remota, accumulare qualifiche, e mettere in pericolo i dati. Va notato che il bug non influisce sulle situazioni Superset che hanno modificato il valore predefinito per la configurazione SECRET_KEY in una stringa arbitraria crittograficamente più affidabile.

Ulteriori dettagli tecnici sono disponibili in il report originale.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Post correlati:
  1. Grave vulnerabilità Java deserializzazione Scoperti in 70 Biblioteche All'inizio 2015, i ricercatori di sicurezza Gabriel Lawrence...
  2. CVE-2021-41773: Vulnerabilità Apache sfruttata in natura Apache ha appena corretto due vulnerabilità di sicurezza (CVE-2021-41773 e CVE-2021-33193) in...
  3. CVE-2020-9497: È stata rilevata una vulnerabilità zero-day di Apache Guacamole zero Il gateway desktop remoto Apache Guacamole è stato identificato per....
  4. CVE-2023-51467 in Apache OfBiz mette a rischio le imprese Apache OFBiz, una pianificazione delle risorse aziendali open source (ERP) sistema, ha ...
  5. CVE-2019-0211: Una vulnerabilità in Apache HTTP Server CVE-2019-0211 is a new vulnerability in Apache HTTP Server software....
  6. CVE-2.018-11.776: Nuovo critici Struts difetto potrebbe essere peggio di Equifax A new vulnerability has been uncovered – the kind that...
  7. L'elenco degli smartwatch più sicuri Questo è un Top completo 10 elenco che riassume il...
  8. Il malware Zerobot ora sfrutta le vulnerabilità di Apache (CVE-2021-42013) The Zerobot botnet is making the headlines once again in...

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo