Apache Superset オープン ソース データ視覚化ソフトウェアの管理者は、セキュリティの脆弱性に対処するための更新プログラムを発行しました, CVE-2023-27524 として追跡, CVSSスコアが 8.9.
この脆弱性, バージョンに存在する 2.0.1 および以前, 安全でないデフォルト設定が原因で発生する可能性があります。 リモートコード実行. デフォルトの SECRET_KEY を利用する, 悪意のあるアクターが、インターネットに公開されたソフトウェアのインストールで許可されていないリソースにアクセスする可能性があります.
CVE-2023-27524 技術概要
公式の National Vulnerability Database の説明によると, “2.0.1 までの Apache スーパーセット バージョンでのセッション検証攻撃” 可能です. インストールが指示に従い、SECRET_KEY 構成のデフォルト値を変更した場合, その後、攻撃者によるリソースの不正アクセスが防止されます. でも, デフォルトで設定された SECRET_KEY を変更していないインストールは、このタイプの攻撃に対して脆弱である可能性があります.
ナヴィーン・サンカバリー, Horizon3.ai のセキュリティ研究者, この問題は、権限のない攻撃者がリモートでコードを実行できるようにする Apache スーパーセットの危険なデフォルト設定であると特徴付けられました, 資格を積む, データを危険にさらす. このバグは、SECRET_KEY 構成のデフォルト値をより暗号的に信頼性の高い任意の文字列に変更したスーパーセットの状況には影響しないことに注意してください。.
技術的な詳細については、 元のレポート.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: