Huis > Cyber ​​Nieuws > CVE-2023-27524: Kwetsbaarheid in Apache Superset-software
CYBER NEWS

CVE-2023-27524: Kwetsbaarheid in Apache Superset-software

door   |  Last Update:  |  0 Reacties  

Beheerders van de Apache Superset open source datavisualisatiesoftware hebben updates uitgebracht om een beveiligingslek te verhelpen, gevolgd als CVE-2023-27524, met een CVSS score van 8.9.

Deze kwetsbaarheid, die aanwezig is in versies 2.0.1 en vroeger, wordt veroorzaakt door een onveilige standaardconfiguratie die kan resulteren in uitvoering van externe code. Door gebruik te maken van de standaard SECRET_KEY, kwaadwillende actoren kunnen toegang krijgen tot ongeautoriseerde bronnen op op internet blootgestelde installaties van de software.

CVE-2023-27524- Kwetsbaarheid in Apache Superset-software

CVE-2023-27524 Technisch overzicht

Volgens de officiële beschrijving van de National Vulnerability Database, “Session Validation-aanvallen in Apache Superset-versies tot en met 2.0.1” zijn mogelijk. Als de installatie de instructies heeft gevolgd en de standaardwaarde voor de SECRET_KEY config, dan wordt de ongeoorloofde toegang tot bronnen door aanvallers voorkomen. Echter, installaties die de standaard geconfigureerde SECRET_KEY niet hebben gewijzigd, kunnen kwetsbaar zijn voor dit type aanval.




Naveen Sunkavally, beveiligingsonderzoeker bij Horizon3.ai, typeerde het probleem als een gevaarlijke standaardinstelling in Apache Superset waarmee een niet-geautoriseerde aanvaller externe code kan uitvoeren, kwalificaties verzamelen, en gegevens in gevaar brengen. Opgemerkt moet worden dat de bug geen invloed heeft op Superset-situaties die de standaardwaarde voor de SECRET_KEY-configuratie hebben gewijzigd in een meer cryptografisch betrouwbare willekeurige tekenreeks.

Verdere technische details zijn beschikbaar in het oorspronkelijke rapport.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Gerelateerde berichten:
  1. Ernstige Java deserialisatie Kwetsbaarheid ontdekt in 70 Bibliotheken Begin 2015, de beveiligingsonderzoekers Gabriel Lawrence...
  2. CVE-2021-41773: Apache-kwetsbaarheid misbruikt in het wild Apache heeft zojuist twee beveiligingsproblemen gepatcht (CVE-2021-41773 en CVE-2021-33193) in...
  3. CVE-2019-0211: Door een beveiligingslek in Apache HTTP Server CVE-2019-0211 is a new vulnerability in Apache HTTP Server software....
  4. CVE-2020-9497: Ernstige Apache Guacamole Zero-Day-kwetsbaarheid gevonden De Apache Guacamole remote desktop gateway is geïdentificeerd om....
  5. Wat zijn de meest veilige Smartphones PRIJS TOTAAL SCORE OS VPN VERSLEUTELING TRACK BLOCK FINGERPRINT 1...
  6. CVE-2018-11.776: New Kritische Struts Flaw Could Be Worse than Equifax A new vulnerability has been uncovered – the kind that...
  7. Apple repareert CVE-2023-28206, CVE-2023-28205 Nuldagen Apple has released emergency updates to address two actively exploited...
  8. Zerobot-malware maakt nu misbruik van Apache-kwetsbaarheden (CVE-2021-42013) The Zerobot botnet is making the headlines once again in...

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens