Os mantenedores do software de visualização de dados de código aberto Apache Superset emitiram atualizações para solucionar uma vulnerabilidade de segurança, rastreado como CVE-2023-27524, com uma pontuação CVSS de 8.9.
Esta vulnerabilidade, que está presente nas versões 2.0.1 e anterior, é causado por uma configuração padrão insegura que pode resultar em execução remota de código. Explorando a SECRET_KEY padrão, atores mal-intencionados podem obter acesso a recursos não autorizados em instalações do software expostas à Internet.
CVE-2023-27524 Visão geral técnica
De acordo com a descrição oficial do banco de dados de vulnerabilidade nacional, “Ataques de validação de sessão em versões Apache Superset até e incluindo 2.0.1” e possivel. Se a instalação seguiu as instruções e alterou o valor padrão para a configuração SECRET_KEY, então o acesso não autorizado de recursos por invasores é impedido. Contudo, instalações que não modificaram a SECRET_KEY configurada por padrão podem ser vulneráveis a esse tipo de ataque.
Naveen Sunkavally, pesquisador de segurança na Horizon3.ai, caracterizou o problema como uma configuração padrão perigosa no Apache Superset que permite que um invasor não autorizado obtenha a execução remota de código, acumular qualificações, e colocar em risco os dados. Deve-se observar que o bug não afeta as situações do Superset que alteraram o valor padrão da configuração SECRET_KEY para uma string arbitrária criptograficamente confiável.
Mais detalhes técnicos estão disponíveis em o relatório original.