Tharraing luchd-rannsachaidh bho Horizon3 aire gu duilgheadasan tèarainteachd anns a’ mhòr-chuid de shuidheachaidhean de àrd-ùrlar mion-sgrùdadh dàta agus fradharc Apache Superset. Air 2124 a-mach à 3176 frithealaichean poblach a chaidh a sgrùdadh le Apache Superset, chaidh cleachdadh na h-iuchrach crioptachaidh àbhaisteach a chaidh a shònrachadh gu bunaiteach san eisimpleir faidhle rèiteachaidh a lorg. Tha an iuchair seo air a chleachdadh ann an leabharlann Flask Python gus briosgaidean seisean a ghineadh, a leigeas le neach-ionnsaigh aig a bheil eòlas air an iuchair paramadairean seisean meallta a ghineadh, ceangal ri eadar-aghaidh lìn Apache Superset agus luchdachadh dàta bho stòran-dàta ceangailte, no cuir an gnìomh còd le còraichean Apache Superset. .
Gu inntinneach, thug an luchd-rannsachaidh fios don luchd-leasachaidh an toiseach mun duilgheadas air ais ann an 2021, agus às deidh sin ann an sgaoileadh Apache Superset 1.4.1, a chaidh a chruthachadh san Fhaoilleach 2022, chaidh luach paramadair SECRET_KEY a chuir na àite leis an loidhne “CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET”, chaidh seic a chuir na àite. air a chur ris a 'chòd, ma tha an luach seo a' toirt a-mach rabhadh don log.
Anns a’ Ghearran am-bliadhna, cho-dhùin an luchd-rannsachaidh an scan de shiostaman so-leònte a dhèanamh a-rithist agus bha iad mu choinneamh nach tug mòran dhaoine aire don rabhadh agus bha 67% de luchd-frithealaidh Apache Superset fhathast a’ cleachdadh iuchraichean bho eisimpleirean rèiteachaidh, teamplaidean cleachdadh no sgrìobhainnean. Aig an aon àm, bha cuid de chompanaidhean mòra, oilthighean agus buidhnean riaghaltais am measg nam buidhnean a bha a’ cleachdadh iuchraichean bunaiteach.
Tha sònrachadh iuchair obrach ann an rèiteachadh eisimpleir a-nis air fhaicinn mar so-leòntachd (CVE-2023-27524), a chaidh a shuidheachadh ann an sgaoileadh Apache Superset 2.1 tro thoradh mearachd a chuireas casg air an àrd-ùrlar bho bhith a’ tòiseachadh nuair a bhios tu a’ cleachdadh na h-iuchrach a chaidh a shònrachadh ann an an eisimpleir (chan eilear a’ toirt aire ach don iuchair a tha air a shònrachadh ann an rèiteachadh eisimpleir an tionndaidh làithreach, chan eil seann iuchraichean àbhaisteach agus iuchraichean bho theamplaidean agus sgrìobhainnean air am bacadh). Chaidh sgriobt sònraichte a mholadh gus dèanamh cinnteach gu bheil so-leòntachd an làthair air an lìonra.
Source: fosgailtenet.ru