- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
新华三盾山实验室
2023/04/26
Apache Superset 是一个现代化的数据可视化和分析平台,可以连接各种数据源(如 MySQL、PostgreSQL、Druid、Elasticsearch 等),让用户通过图表和仪表板进行数据探索和分析。支持 SQL 查询和可视化构建,以及可配置的安全和身份验证,适用于企业和个人用户进行数据探索和分析。近日,新华三盾山实验室监测到Apache Superset身份认证绕过漏洞(CVE-2023-27524)相关信息,且漏洞利用代码已公开,攻击者利用该漏洞可访问未授权的资源或执行恶意代码。
由于用户未根据安装说明更改Apache Superset 默认的SECRET_KEY值, 导致其存在身份认证绕过漏洞 ,未经身份验证的恶意攻击者成功利用此漏洞可访问未授权的资源或执行任意代码。
Apache Superset <= 2.0.1
威胁等级 | 高危 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | 8.9 |
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://github.com/apache/superset
1、修改配置中的SECRET_KEY值,使用新的 SECRET_KEY 重新加密该信息,参考链接:https://superset.apache.org/docs/installation/configuring-superset/#secret_key-rotation
1、新华三安全设备防护方案
新华三IPS规则库将在1.0.236版本支持对该漏洞的识别,新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。
2、新华三态势感知解决方案
新华三态势感知已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。
https://superset.apache.org/
产品与解决方案
