Lekolînwanên ji Horizon3 bal kişandin ser pirsgirêkên ewlehiyê yên di piraniya sazkirinên platforma analîzkirina daneyan û dîtinê ya Apache Superset de. Li ser 2124 ji 3176 serverên gelemperî yên ku bi Apache Superset re hatine lêkolîn kirin, karanîna mifteya şîfrekirinê ya standard ku ji hêla xwerû ve di pelê mîhengê ya nimûneyê de hatî destnîşan kirin hate dîtin. Ev kilît di pirtûkxaneya Flask Python de tê bikar anîn da ku Cookiesên danişînê çêbike, ku destûrê dide êrîşkerek ku mifteyê dizane parametreyên danişînê yên xeyalî çêbike, bi navbeynkariya webê ya Apache Superset ve girêbide û daneyan ji databasên girêdayî bar bike, an bi mafên Apache Superset înfaza kodê organîze bike. .
Balkêş e ku lêkolîneran di destpêkê de di sala 2021-an de pêşdebiran di derbarê pirsgirêkê de agahdar kirin, pişt re di berdana Apache Superset 1.4.1 de, ku di Çileya 2022-an de hatî damezrandin, nirxa parametreya SECRET_KEY bi rêza "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" hate guheztin. li kodê zêde kirin, heke ev nirx hişyariyek ji têketinê derxe.
Di Sibata vê salê de, lêkolîneran biryar da ku şopandina pergalên xizan dubare bikin û bi vê yekê re rû bi rû man ku hindik kesan bala xwe da hişyariyê û 67% ji serverên Apache Superset hîn jî berdewam kirin ku bişkojkên ji mînakên veavakirinê, şablonên bicîhkirinê an belgekirinê bikar bînin. Di heman demê de, hin pargîdaniyên mezin, zanîngeh û saziyên hukûmetê di nav rêxistinan de bûn ku bişkojkên xwerû bikar tînin.
Diyarkirina mifteyek xebitandinê di mîhengek nimûne de naha wekî qelsiyek (CVE-2023-27524) tê dîtin, ku di berdana Apache Superset 2.1-ê de bi derketina xeletiyek ku dest pê dike dema ku mifteya ku di nav de hatî destnîşan kirin de dest pê bike asteng dike. mînak (tenê mifteya ku di mîhenga nimûneya guhertoya heyî de hatî destnîşan kirin tê hesibandin, bişkokên standard ên kevn û bişkokên ji şablon û belgeyan nayên asteng kirin). Nivîsarek taybetî hate pêşniyar kirin ku ji bo qelsiyên li ser torê kontrol bikin.
Source: opennet.ru