Peneliti saka Horizon3 narik kawigaten babagan masalah keamanan ing umume instalasi saka analisis data lan platform visualisasi Apache Superset. Ing 2124 saka 3176 server umum sing sinau karo Apache Superset, panggunaan kunci enkripsi standar sing ditemtokake minangka standar ing file konfigurasi conto dideteksi. Tombol iki digunakake ing perpustakaan Flask Python kanggo ngasilake Cookies sesi, sing ngidini panyerang sing ngerti kunci kanggo ngasilake parameter sesi fiktif, nyambung menyang antarmuka web Apache Superset lan mbukak data saka database sing disambung, utawa ngatur eksekusi kode nganggo hak Apache Superset. .
Sing nggumunake, para peneliti wiwitane ngandhani pangembang babagan masalah kasebut ing taun 2021, sawise diluncurake Apache Superset 1.4.1, dibentuk ing Januari 2022, nilai parameter SECRET_KEY diganti karo baris "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", mriksa ana. ditambahake menyang kode, yen nilai iki menehi bebaya kanggo log.
Ing wulan Februari taun iki, peneliti mutusake kanggo mbaleni scan sistem sing rawan lan ngadhepi kasunyatan manawa sawetara wong sing menehi perhatian marang peringatan kasebut lan 67% saka server Apache Superset isih terus nggunakake tombol saka conto konfigurasi, template penyebaran utawa dokumentasi. Ing wektu sing padha, sawetara perusahaan gedhe, universitas lan lembaga pemerintah ana ing antarane organisasi sing nggunakake tombol standar.
Nemtokake tombol sing bisa digunakake ing konfigurasi conto saiki dianggep minangka kerentanan (CVE-2023-27524), sing didandani nalika ngeculake Apache Superset 2.1 liwat output kesalahan sing ngalangi platform wiwit nggunakake tombol sing ditemtokake ing contone (mung tombol sing ditemtokake ing conto konfigurasi versi saiki dianggep, tombol standar lawas lan tombol saka cithakan lan dokumentasi ora diblokir). Skrip khusus wis diusulake kanggo mriksa kerentanan liwat jaringan.
Source: opennet.ru