安全动态

行业动态

漏洞动态

联系方式

地址: 广州市越秀区东风东路750号广联大厦13楼1307-1309室
电话:18898400087

Apache Superset 后台远程代码执行漏洞

  • 漏洞编号:CVE-2023-37941
  • 漏洞类型:远程代码执行(RCE)
  • 漏洞等级:高危
  • 发布时间:2023-09-07

              

漏洞描述:

Ap Apache Superset是一个开源的数据探索和可视化平台,提供了快速创建数据可视化互动仪表盘、丰富的可视化图表模板、细粒度高可扩展性的安全访问模型等强大功能,可以轻松对数据进行可视化分析。

近日,Apache SuperSet 发布安全公告,修复了一处代码执行漏洞,漏洞编号:CVE-2023-37941,漏洞危害等级:中危。

Apache Superset 2.1.1之前版本中使用 Python 的 pickle 包存储配置数据,对metadata数据库(如:SQLite)具有写访问权限的攻击者可通过SQL Lab等将恶意的 pickle 负载存储到 metadata 数据库,当 Superset 的 Web 后端反序列化该对象时触发远程代码执行。

 

影响版本:

·Apache Superset<2.1.1

 

 

修复建议

官方已修复该漏洞,建议用户更新到安全版本。
安全版本: Apache Superset >= 2.1.1参考连接:https://github.com/apache/superset/commit/1d61ac17839c588ba


参考链接:
https://github.com/apache/superset/commit/1d61ac17839c588bae240386443a904c8cebb4ab

 
 

版权所有 © 2021 广州网安信息技术有限公司

粤ICP备2021096656号粤公网安备 44010402002568号