1. 墨知首页
  2. 漏洞

Apache Superset 默认示例数据库权限提升漏洞 (CVE-2023-40610)

漏洞
漏洞类型 SQL注入 发现时间 2023-11-27 漏洞等级 高危
MPS编号 MPS-iztk-bu2h CVE编号 CVE-2023-40610 漏洞影响广度 广
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Apache Superset 是一个开源的数据可视化和业务智能平台,可用于数据探索分析和数据可视化。
受影响版本中,默认情况下示例数据库表是在 Superset 的元数据数据库上创建,导致用户可以通过 SQLLab 访问 Superset 的元数据数据库。有普通权限的攻击者可以构造恶意的 CTE SQL 语句修改 Superset 元数据数据库的中数据,提升攻击者权限等。如:
WITH evil AS (UPDATE users SET role = ‘admin’ WHERE username = ‘your_username’)
SELECT * FROM evil;
参考链接:https://www.oscs1024.com/hd/MPS-iztk-bu2h

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
apache-superset (-∞, 2.1.2) 升级 将组件 apache-superset 升级至 2.1.2 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-iztk-bu2h

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-iztk-bu2h

https://nvd.nist.gov/vuln/detail/CVE-2023-40610

https://seclists.org/oss-sec/2023/q4/237

https://github.com/apache/superset/pull/25003

https://github.com/apache/superset/pull/25003/commits/c7a3bc780526c7164df6a9b558bbe29399750319

(0)
上一篇 2023年11月27日 下午2:00
下一篇 2023年11月29日 下午12:00

相关推荐

  • Apache UIMA Java SDK <3.5.0 反序列化漏洞 (CVE-2023-39913) 漏洞

    Apache UIMA Java SDK <3.5.0 反序列化漏洞 (CVE-2023-39913)

    漏洞类型 反序列化 发现时间 2023-11-08 漏洞等级 高危 MPS编号 MPS-8r5d-9m7h CVE编号 CVE-2023-39913 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache UIMA 是一个用于分析非结构化内容(比如文本、视频和音频)的组件架构和软件框架实现。 由于Apache UIMA Java SDK在反序列化Java对…

    2023年11月9日
    0
  • NPM组件 @navancorp/angular-web-components 等窃取主机敏感信息 漏洞

    NPM组件 @navancorp/angular-web-components 等窃取主机敏感信息

    【高危】NPM组件 @navancorp/angular-web-components 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @navancorp/angular-web-components 等NPM组件包时会窃取用户主机的主机信息(主机名、工作目录、CPU/系统架构、IP地址等)、env/passwd/bashrc等系统敏感文件并发送到攻…

    2025年8月26日
    0
  • OctoPrint<1.9.3 任意命令执行漏洞 (CVE-2023-41047) 漏洞

    OctoPrint<1.9.3 任意命令执行漏洞 (CVE-2023-41047)

    漏洞类型 模板注入 发现时间 2023-10-10 漏洞等级 中危 MPS编号 MPS-ftvy-n7x2 CVE编号 CVE-2023-41047 漏洞影响广度 一般 漏洞危害 OSCS 描述 OctoPrint是一个开源的3D打印机管理和控制软件,提供用户界面以监控和控制3D打印过程,支持远程访问和插件扩展。 在OctoPrint受影响的版本中,允许恶意…

    2023年10月10日
    0
  • vm2 <=3.9.19 远程代码执行漏洞(Promise 绕过) (CVE-2023-37466) 漏洞

    vm2 <=3.9.19 远程代码执行漏洞(Promise 绕过) (CVE-2023-37466)

    漏洞类型 注入 发现时间 2023/7/14 漏洞等级 严重 MPS编号 MPS-dvto-znpx CVE编号 CVE-2023-37466 漏洞影响广度 广 漏洞危害OSCS 描述vm2 是一个基于 Node.js 的沙箱环境,Promise 对象用来处理异步代码。3.9.19 及之前版本中,Promise 处理程序的过滤机制可以被绕过,攻击者可通过 @…

    2023年8月31日
    0
  • Google Chrome<120.0.6099.199 存在释放后使用漏洞 (CVE-2024-0222) 漏洞

    Google Chrome<120.0.6099.199 存在释放后使用漏洞 (CVE-2024-0222)

    漏洞类型 UAF 发现时间 2024-01-04 漏洞等级 高危 MPS编号 MPS-ler0-8tok CVE编号 CVE-2024-0222 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome 是 Google 公司开发的网页浏览器。ANGLE 是 Google Chrome 中用于提供图形API的库,包括 OpenGL ES 和 V…

    2024年1月5日
    0