网络安全

关于Apache Superset身份验证绕过漏洞(CVE-2023-27524)的安全预警

2023-05-08

一、基本情况


Apache Superset是一个开源的数据探索和可视化平台,提供了快速创建数据可视化互动仪表盘、丰富的可视化图表模板、细粒度高可扩展性的安全访问模型等强大功能,可以轻松对数据进行可视化分析。


二、漏洞描述


4月25日,Apache官方发布安全公告,修复了Apache Superset中的一个身份验证绕过漏洞(CVE-2023-27524),其CVSSv3评分为8.9,目前该漏洞的细节及PoC/EXP已经公开披露。


Apache Superset 版本<= 2.0.1中,当未根据安装说明更改默认配置的 SECRET_KEY时,Apache Superset 使用默认的Flask SECRET_KEY 密钥来签署身份验证会话cookie,威胁者可以使用该默认密钥伪造会话cookie,并以管理员权限登录到未更改密钥的服务器,导致身份验证绕过和远程代码执行。

三、影响范围


Apache Superset 版本:<= 2.0.1


四、修复建议


目前该漏洞已经修复,受影响用户可升级到以下版本:


Apache Superset 版本:>= 2.1.0


下载链接:


https://github.com/apache/superset/tags


注:


1.如果Superset 管理员更改了SECRET_KEY 配置默认值,则Superset安装不易受到攻击。


2.Apache Superset 版本 2.1.0中,如果使用默认的“SECRET_KEY”运行,则不允许服务器启动。


临时措施


无法升级到修复版本的受影响用户可以选择更改SECRET_KEY 配置默认值,可参考:


https://superset.apache.org/docs/installation/configuring-superset/#secret_key-rotation


五、参考链接


https://lists.apache.org/thread/n0ftx60sllf527j7g11kmt24wvof8xyk


https://www.horizon3.ai/cve-2023-27524-insecure-default-configuration-in-apache-superset-leads-to-remote-code-execution/


https://www.bleepingcomputer.com/news/security/thousands-of-apache-superset-servers-exposed-to-rce-attacks/


XML 地图