阿帕奇软件基金会(Apache Software Foundation)宣布发布 Apache Superset 4.1.0,这是一个重要更新,可解决影响广泛使用的开源商业智能平台的三个重大安全漏洞。 这些漏洞被识别为 CVE-2024-53947、CVE-2024-53948 和 CVE-2024-53949,严重程度不等,可能允许攻击者绕过安全控制、访问敏感数据和获得未经授权的权限。
CVE-2024-53947: SQL 注入漏洞
此漏洞源自不当的 SQL 授权检查,特别是与某些 PostgreSQL 功能有关的检查。 攻击者可利用此漏洞绕过 Superset 的安全机制并执行任意 SQL 查询,从而可能导致数据泄露和未经授权访问敏感信息。
CVE-2024-53948: 元数据暴露
此漏洞源于 Superset 生成的错误消息过于冗长。 在某些情况下,这些错误信息可能会无意中暴露底层分析数据库的元数据,从而可能为攻击者提供有价值的信息以供进一步利用。
CVE-2024-53949:授权绕过
此漏洞会影响启用了 FAB_ADD_SECURITY_API 的 Superset 部署(默认情况下已禁用)。 该漏洞允许权限较低的用户利用 API 创建新角色,从而可能提升权限并在未经授权的情况下访问敏感功能。
缓解和补救措施
阿帕奇软件基金会敦促所有 Superset 用户立即升级到 4.1.0 版。 该版本包含解决所有三个漏洞的全面补丁。
除升级外,用户还可以实施以下缓解措施:
CVE-2024-53947: 如果无法立即升级,用户可以手动将有漏洞的 PostgreSQL 函数(query_to_xml_and_xmlschema、table_to_xml 和 table_to_xml_and_xmlschema)添加到 DISALLOWED_SQL_FUNCTIONS 配置设置中。
CVE-2024-53949:确保 FAB_ADD_SECURITY_API 在非明确需要时禁用。
文章原文链接:https://www.anquanke.com/post/id/302602