Undersikers fan Horizon3 lutsen omtinken foar feiligensproblemen yn 'e measte ynstallaasjes fan it Apache Superset-dataanalyse- en fisualisaasjeplatfoarm. Op 2124 fan 3176 iepenbiere servers dy't studearre mei Apache Superset, waard it gebrûk fan de standert fersiferingskaai oantsjutte standert yn it foarbyldkonfiguraasjetriem ûntdutsen. Dizze kaai wurdt brûkt yn 'e Flask Python-bibleteek om sesjekoekjes te generearjen, wêrtroch in oanfaller dy't de kaai wit om fiktive sesjeparameters te generearjen, te ferbinen mei de Apache Superset-webynterface en gegevens fan keppele databases te laden, of koade-útfiering te organisearjen mei Apache Superset-rjochten .
Nijsgjirrich is dat de ûndersikers de ûntwikkelders yn 't earstoan ynformeare oer it probleem werom yn 2021, wêrnei't yn' e frijlitting fan Apache Superset 1.4.1, foarme yn jannewaris 2022, de wearde fan 'e SECRET_KEY parameter waard ferfongen troch de line "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", in kontrôle wie tafoege oan 'e koade, as dizze wearden in warskôging oan it log útfiert.
Yn febrewaris fan dit jier besleaten ûndersikers de scan fan kwetsbere systemen te werheljen en waarden konfrontearre mei it feit dat in pear minsken oandacht hawwe oan 'e warskôging en 67% fan Apache Superset-tsjinners bleaunen noch hieltyd gebrûk fan kaaien fan konfiguraasjefoarbylden, ynsetsjabloanen of dokumintaasje. Tagelyk wiene guon grutte bedriuwen, universiteiten en oerheidsynstânsjes ûnder de organisaasjes dy't standertkaaien brûkten.
It opjaan fan in wurkkaai yn in foarbyldkonfiguraasje wurdt no ûnderfûn as in kwetsberens (CVE-2023-27524), dy't waard reparearre yn 'e frijlitting fan Apache Superset 2.1 troch de útfier fan in flater dy't blokkearret dat it platfoarm begjint by it brûken fan de kaai oantsjutte yn it foarbyld (allinich de kaai oantsjutte yn it foarbyld konfiguraasje fan de aktuele ferzje wurdt rekken holden, âlde standert kaaien en kaaien út sjabloanen en dokumintaasje wurde net blokkearre). In spesjaal skript is foarsteld om te kontrolearjen op de oanwêzigens fan kwetsberens oer it netwurk.
Boarne: opennet.ru