Products
GG网络技术分享 2025-03-18 16:16 0
Apache Superset 是一个开源的数据可视化和业务智能平台,可用于数据探索分析和数据可视化。
受影响版本中,默认情况下示例数据库表是在 Superset 的元数据数据库上创建,导致用户可以通过 SQLLab 访问 Superset 的元数据数据库。有普通权限的攻击者可以构造恶意的 CTE SQL 语句修改 Superset 元数据数据库的中数据,提升攻击者权限等。如:
WITH evil AS (UPDATE users SET role = \'admin\' WHERE username = \'your_username\')
SELECT * FROM evil;
| 漏洞名称 | Apache Superset 默认示例数据库权限提升漏洞 |
|---|---|
| 漏洞类型 | SQL 注入 |
| 发现时间 | 2023-11-27 |
| 漏洞影响广度 | 广 |
| MPS 编号 | MPS-iztk-bu2h |
| CVE 编号 | CVE-2023-40610 |
| CNVD 编号 | - |
apache-superset@(-∞, 2.1.2)
将组件 apache-superset 升级至 2.1.2 及以上版本
Demand feedback
