漏洞类型	SQL注入	发现时间	2023-11-27	漏洞等级	高危
MPS编号	MPS-iztk-bu2h	CVE编号	CVE-2023-40610	漏洞影响广度	广

目录隐藏

2.1 OSCS 平台影响范围和处置方案

3 排查方式

漏洞危害

OSCS 描述

Apache Superset 是一个开源的数据可视化和业务智能平台，可用于数据探索分析和数据可视化。
受影响版本中，默认情况下示例数据库表是在 Superset 的元数据数据库上创建，导致用户可以通过 SQLLab 访问 Superset 的元数据数据库。有普通权限的攻击者可以构造恶意的 CTE SQL 语句修改 Superset 元数据数据库的中数据，提升攻击者权限等。如：
WITH evil AS (UPDATE users SET role = ‘admin’ WHERE username = ‘your_username’)
SELECT * FROM evil;
参考链接：https://www.oscs1024.com/hd/MPS-iztk-bu2h

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
apache-superset (-∞, 2.1.2)	升级	将组件 apache-superset 升级至 2.1.2 及以上版本
参考链接：https://www.oscs1024.com/hd/MPS-iztk-bu2h

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-iztk-bu2h

https://nvd.nist.gov/vuln/detail/CVE-2023-40610

https://seclists.org/oss-sec/2023/q4/237

https://github.com/apache/superset/pull/25003

https://github.com/apache/superset/pull/25003/commits/c7a3bc780526c7164df6a9b558bbe29399750319

Apache Superset 默认示例数据库权限提升漏洞 (CVE-2023-40610)

漏洞危害

影响范围及处置方案

OSCS 平台影响范围和处置方案

排查方式

相关推荐

Apache Nifi JMS组件存在JNDI反序列化漏洞 （CVE-2023-34212）

Apache James Server JMX端点暴露 反序列化漏洞 (CVE-2023-51518)

Notepad++ Utf8_16_Read::convert 缓冲区溢出漏洞 (CVE-2023-40031)

Microsoft Exchange Server 远程代码执行漏洞 (CVE-2023-36439)

GeoServer 文件上传漏洞 (CVE-2023-51444)

Apache Nifi JMS组件存在JNDI反序列化漏洞（CVE-2023-34212）

Apache James Server JMX端点暴露反序列化漏洞 (CVE-2023-51518)