Apache Superset中存在严重漏洞
编译:代码卫士
开源数据可视化和数据探索平台Apache Superset 发布七份安全公告。
Apache Superset 是一款现代数据探索和数据可视化平台,能够为很多团队替代或扩充专有的业务情报工具,能够很好地集成多种数据来源。
Apache Superset 的SQL Alchemy 连接器中存在一个严重的SQL注入漏洞 (CVE-2022-41703),影响版本1.5.2及之前版本以及2.0.0版本。安全公告指出,该漏洞可导致“对特定数据库具有读权限的认证用户将子查询添加至同样数据库WHERE和HAVING字段参考表单中,而虽然用户禁用了该特性标记 ‘ALLOW_ADHOC_SUBQUERY’(默认值),但仍不应该具有该权限”。
Superset 1.5.3和2.0.1版本修复了该漏洞。目前并不存在临时的应变措施,Superset开发人员将其评级为“严重”级别,并建议用户尽快安装更新。
Superset中还存在两个中危漏洞,它们分别是CSRF 漏洞CVE-2022-43719和开放重定向漏洞CVE-2022-43721。另外还修复了四个低危漏洞:
CVE-2022-43720:具有CSS模板写权限的认证攻击者可创建具有特定HTML标签的记录,当用户删除该记录时,这些标签无法由显示的toast报文逃逸。
CVE-2022-43718:上传数据表格未正确渲染用户输入,导致具有数据库连接更新权限的认证用户可执行XSS攻击。
CVE-2022-45438:当直接启用特性标记DASHBOARD_CACHE(默认禁用)时,该系统允许未认证用户使用REST API Get端点访问仪表盘配置元数据。
CVE-2022-43717:仪表盘渲染未能充分清理markdown组件的内容,可能导致具有创建仪表盘权限的认证用户执行XSS攻击。
这些问题由Positive Technologies 公司和Sunny Alexli 发现,影响1.5.2及之前版本和2.0.0版本,已在1.5.3和2.0.1版本中修复。
Apache ShardingSphere身份认证绕过漏洞(CVE-2022-45347)安全风险通告
速修复!Apache Commons Text 存在严重漏洞,堪比Log4Shell
Apache开源项目 Xalan-J 整数截断可导致任意代码执行
https://securityonline.info/cve-2022-41703-apache-superset-sql-injection-vulnerability/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。