Apache Superset身份認(rèn)證繞過漏洞預(yù)警（CVE-2023-27524）

2023-04-27

一、概要

近日，華為云關(guān)注到Apache Superset 官方發(fā)布安全公告，披露在Apache Superset＜=2.0.1版本中存在一處身份認(rèn)證繞過漏洞（CVE-2023-27524）。由于Apache Superset 存在不安全的默認(rèn)配置，未根據(jù)安裝說明更改默認(rèn)配置的SECRET_KEY的系統(tǒng)容易受此漏洞影響，未經(jīng)身份驗證的攻擊者利用此漏洞可以訪問未經(jīng)授權(quán)的資源或執(zhí)行任意代碼。目前漏洞利用細(xì)節(jié)已公開，風(fēng)險高。

Apache Superset是用于數(shù)據(jù)探索和數(shù)據(jù)可視化的開源軟件應(yīng)用程序，能夠處理PB級數(shù)據(jù)。華為云提醒使用Apache Superset的用戶盡快安排自檢并做好安全加固。

參考鏈接：

https://www.cve.org/CVERecord?id=CVE-2023-27524

https://lists.apache.org/thread/n0ftx60sllf527j7g11kmt24wvof8xyk

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

Apache Superset<= 2.0.1

安全版本：

Apache Superset >= 2.1.0

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請受影響的用戶升級到安全版本：

https://www.apache.org/dist/superset/2.1.0

如果受影響的用戶無法及時升級，可通過修改SECRET_KEY默認(rèn)值配置來進行規(guī)避，詳情參考官方指導(dǎo)：

https://superset.apache.org/docs/installation/configuring-superset/#secret_key-rotation

注：修復(fù)漏洞前請將資料備份，并進行充分測試。