Critical：Apache Superset Remote Code Execution Vulnerability

Critical：Apache Superset Remote Code Execution Vulnerability
文章目录
- 漏洞特征信息
  漏洞已经得到控制
  漏洞修复指导
  推荐阅读
漏洞特征信息

Name ：Apache Superset Remote Code Execution Vulnerability
Severity ：critical
CVE ：CVE-2023-37941
Description ：
Apache Superset is prone to a remote code execution vulnerability while parsing certain crafted Postgres requests. The vulnerability is due to the lack of proper checks on Postgres requests, leading to an exploitable remote code execution vulnerability. An attacker could exploit the vulnerability by sending crafted Postgres requests. A successful attack could lead to remote code execution.

Apache Superset在解析某些精心制作的Postgres请求时容易出现远程代码执行漏洞。该漏洞是由于对Postgres请求缺乏适当的检查，导致一个可利用的远程代码执行漏洞。攻击者可以通过发送精心制作的Postgres请求来利用该漏洞。成功的攻击可能导致远程代码执行。

漏洞已经得到控制

Apache Superset是一个流行的开源数据探索和可视化工具。Superset服务器的漏洞可以让未经授权的攻击者能够获得对服务器的管理访问权限。

Apache Superset是用Python编写的，基于Flask web框架。CVE-2023-27524是由Flask SECRET_KEY值的不安全默认配置引起的。知道了Flask SECRET_KEY的值，攻击者就可以伪造会话cookie并以管理员权限登录到Superset。

Apache Superset还产生了两个新的高危漏洞，CVE-2023-39265和CVE-2023-37941，这两个漏洞在刚刚发布的Superset 2.1.1版本中得到了修复。所以强烈建议所有Superset用户升级到这个版本。

SO，赶快去升级Superset>=2.1.1 吧。

漏洞修复指导
- 仔细检查所有默认值:Flask SECRET_KEY, Superset管理员凭据，元数据数据库凭据等。即使您使用的是最新版本的Superset，您仍然可以使用默认的SECRET_KEY!你可以运行这里提供的脚本来检查你是否容易受到CVE-2023-27524的攻击。
  脚本使用可以参考：https://github.com/horizon3ai/CVE-2023-27524
- 更新Superset到最新的2.1.1版本。
- 仔细检查您没有使用任何“根”级凭据将Superset连接到数据库。
- 删除示例数据库。
- 如果Superset暴露在互联网上，请认真考虑是否真的需要这样做。考虑把它放在防火墙后面。
推荐阅读
相关阅读:
喜马拉雅 Redis 与 Pika 缓存使用军规
 SwiftUI 4 新功能大全之 Toggle与 Mixed Toggle 多个绑定组件
 CLICKHOUSE
vue3使用vue-virtual-scroller虚拟滚动遇到的问题
 SpringCloud-nacos整合seata
第三章：Qt Creator 之 3.1 Qt Creator特色
 ms sql 常用基础函数
 数据可视化之大数据平台可视化
 聊聊 flink 的时间窗口
 tp6 workerman
原文地址：https://blog.csdn.net/weixin_37813152/article/details/133026174

文章目录

漏洞特征信息

漏洞已经得到控制

漏洞修复指导

推荐阅读