Gipunting sa mga tigdukiduki gikan sa Horizon3 ang mga problema sa seguridad sa kadaghanan nga mga pag-install sa Apache Superset data analysis ug visualization platform. Sa 2124 gikan sa 3176 ka publikong mga server nga gitun-an uban sa Apache Superset, ang paggamit sa standard nga encryption key nga gipiho nga default sa pananglitan nga configuration file nakita. Gigamit kini nga yawe sa librarya sa Flask Python aron makamugna og mga Cookies sa sesyon, nga nagtugot sa usa ka tig-atake nga nahibal-an ang yawe sa pagmugna og mga tinumotumo nga mga parameter sa sesyon, pagkonektar sa web interface sa Apache Superset ug pag-load sa datos gikan sa mga linked database, o pag-organisar sa pagpatuman sa code uban sa mga katungod sa Apache Superset .
Makapainteres, ang mga tigdukiduki sa sinugdan nagpahibalo sa mga nag-develop bahin sa problema balik kaniadtong 2021, pagkahuman sa pagpagawas sa Apache Superset 1.4.1, naporma kaniadtong Enero 2022, ang kantidad sa SECRET_KEY parameter gipulihan sa linya nga "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", usa ka tseke ang idugang sa code kung kini nga mga kantidad nagpagawas usa ka pasidaan sa log.
Niadtong Pebrero ning tuiga, ang mga tigdukiduki nakahukom nga sublion ang pag-scan sa mga huyang nga sistema ug nag-atubang sa kamatuoran nga pipila ka mga tawo ang nagtagad sa pasidaan ug ang 67% sa mga server sa Apache Superset nagpadayon gihapon sa paggamit sa mga yawe gikan sa mga panig-ingnan sa pag-configure, mga template sa pag-deploy o dokumentasyon. Sa samang higayon, ang pipila ka dagkong kompanya, unibersidad ug ahensya sa gobyerno usa sa mga organisasyon nga naggamit ug default nga mga yawe.
Ang pagtino sa usa ka nagtrabaho nga yawe sa usa ka panig-ingnan nga pag-configure karon giisip nga usa ka kahuyang (CVE-2023-27524), nga gitakda sa pagpagawas sa Apache Superset 2.1 pinaagi sa output sa usa ka sayup nga nagbabag sa plataporma gikan sa pagsugod kung gigamit ang yawe nga gitakda sa ang panig-ingnan (ang yawe ra nga gipiho sa panig-ingnan nga pag-configure sa karon nga bersyon ang gikonsiderar, ang daan nga sukaranan nga mga yawe ug mga yawe gikan sa mga templates ug dokumentasyon wala gibabagan). Usa ka espesyal nga script ang gisugyot aron masusi ang mga kahuyangan sa network.
Source: opennet.ru