Tharraing taighdeoirí ó Horizon3 aird ar fhadhbanna slándála i bhformhór na suiteálacha d’ardán anailíse agus léirshamhlaithe sonraí Apache Superset. Ar 2124 as 3176 freastalaithe poiblí a ndearnadh staidéar orthu le Apache Superset, braitheadh úsáid na heochair chriptiúcháin chaighdeánach a shonraítear de réir réamhshocraithe sa chomhad cumraíochta samplach. Úsáidtear an eochair seo i leabharlann Flask Python chun Fianáin seisiúin a ghiniúint, a ligeann d'ionsaitheoir a bhfuil aithne aige ar an eochair paraiméadair seisiúin bhréige a ghiniúint, ceangal le comhéadan gréasáin Apache Superset agus sonraí a luchtú ó bhunachair shonraí nasctha, nó forghníomhú cód a eagrú le cearta Apache Superset .
Suimiúil go leor, chuir na taighdeoirí na forbróirí ar an eolas ar dtús faoin bhfadhb ar ais i 2021, agus ina dhiaidh sin nuair a scaoileadh Apache Superset 1.4.1, a bunaíodh i mí Eanáir 2022, cuireadh an líne “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET” in ionad luach an pharaiméadar SECRET_KEY, seiceáladh a chuirtear leis an gcód, má thugann an luach seo rabhadh don logáil isteach.
I mí Feabhra na bliana seo, chinn taighdeoirí scanadh córais leochaileacha a dhéanamh arís agus bhí siad ag tabhairt aghaidh ar an bhfíric gur beag duine a thug aird ar an rabhadh agus lean 67% de fhreastalaithe Apache Superset fós ag úsáid eochracha ó shamplaí cumraíochta, teimpléid imscaradh nó doiciméadú. Ag an am céanna, bhí roinnt cuideachtaí móra, ollscoileanna agus gníomhaireachtaí rialtais i measc na n-eagraíochtaí a úsáideann eochracha réamhshocraithe.
Feictear anois eochair oibre a shonrú i gcumraíocht shamplach mar leochaileacht (CVE-2023-27524), a socraíodh i scaoileadh Apache Superset 2.1 trí aschur earráide a chuireann bac ar an ardán ó thosú agus an eochair a shonraítear in úsáid á baint as. an sampla (ní chuirtear san áireamh ach an eochair a shonraítear i gcumraíocht shampla an leagan reatha, níl aon bhac ar eochracha caighdeánacha d'aois agus eochracha ó theimpléid agus doiciméadú). Tá script speisialta molta chun láithreacht leochaileachtaí ar an líonra a sheiceáil.
Foinse: oscailtenet.ru