Beheerders van de Apache Superset open source datavisualisatiesoftware hebben updates uitgebracht om een beveiligingslek te verhelpen, gevolgd als CVE-2023-27524, met een CVSS score van 8.9.
Deze kwetsbaarheid, die aanwezig is in versies 2.0.1 en vroeger, wordt veroorzaakt door een onveilige standaardconfiguratie die kan resulteren in uitvoering van externe code. Door gebruik te maken van de standaard SECRET_KEY, kwaadwillende actoren kunnen toegang krijgen tot ongeautoriseerde bronnen op op internet blootgestelde installaties van de software.
CVE-2023-27524 Technisch overzicht
Volgens de officiële beschrijving van de National Vulnerability Database, “Session Validation-aanvallen in Apache Superset-versies tot en met 2.0.1” zijn mogelijk. Als de installatie de instructies heeft gevolgd en de standaardwaarde voor de SECRET_KEY config, dan wordt de ongeoorloofde toegang tot bronnen door aanvallers voorkomen. Echter, installaties die de standaard geconfigureerde SECRET_KEY niet hebben gewijzigd, kunnen kwetsbaar zijn voor dit type aanval.
Naveen Sunkavally, beveiligingsonderzoeker bij Horizon3.ai, typeerde het probleem als een gevaarlijke standaardinstelling in Apache Superset waarmee een niet-geautoriseerde aanvaller externe code kan uitvoeren, kwalificaties verzamelen, en gegevens in gevaar brengen. Opgemerkt moet worden dat de bug geen invloed heeft op Superset-situaties die de standaardwaarde voor de SECRET_KEY-configuratie hebben gewijzigd in een meer cryptografisch betrouwbare willekeurige tekenreeks.
Verdere technische details zijn beschikbaar in het oorspronkelijke rapport.