Ireo mpikaroka avy amin'ny Horizon3 dia nisarika ny saina ho amin'ny olana momba ny fiarovana amin'ny ankamaroan'ny fametrahana ny famakafakana angon-drakitra Apache Superset sy sehatra fijerena sary. Ao amin'ny 2124 amin'ireo mpizara ho an'ny daholobe 3176 nianatra tamin'ny Apache Superset, dia hita ny fampiasana ny fanalahidin'ny fanafenana mahazatra voatondro amin'ny alàlan'ny default ao amin'ny rakitra fanamafisana ohatra. Ity famaha ity dia ampiasaina ao amin'ny tranomboky Flask Python mba hamoronana Cookies session, izay ahafahan'ny mpanafika iray mahalala ny fanalahidy hamorona masontsivana fivoriana noforonina, mifandray amin'ny tranonkala Apache Superset ary mameno ny angona avy amin'ny angona mifandray, na mandamina ny famonoana kaody miaraka amin'ny zon'ny Apache Superset. .
Mahaliana fa ny mpikaroka tany am-boalohany dia nampahafantatra ny mpamorona ny olana tamin'ny taona 2021, ary avy eo tamin'ny famoahana ny Apache Superset 1.4.1, niforona tamin'ny Janoary 2022, ny sandan'ny SECRET_KEY dia nosoloina ny tsipika "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", ny fanamarinana dia. ampiana amin'ny kaody, raha mamoaka fampitandremana amin'ny log izany soatoavina izany.
Tamin'ny volana febroary tamin'ity taona ity, nanapa-kevitra ny hamerina ny fizahana ireo rafitra marefo ireo mpikaroka ary nahita fa vitsy ny olona niraharaha ny fampitandremana ary 67% amin'izy ireo no niraharaha izany. lohamilina Mbola mampiasa fanalahidy avy amin'ny ohatra fandrindrana, môdely fametrahana, na antontan-taratasy ny Apache Superset. Na izany aza, misy orinasa lehibe, oniversite ary masoivohon'ny governemanta sasany anisan'ireo fikambanana mampiasa fanalahidy mahazatra.
Ny famaritana ny lakile miasa amin'ny fanamafisana ohatra dia raisina ho toy ny vulnerability (CVE-2023-27524), izay raikitra tamin'ny famoahana ny Apache Superset 2.1 tamin'ny alàlan'ny famoahana hadisoana izay manakana ny sehatra tsy hanomboka rehefa mampiasa ny fanalahidy voafaritra ao amin'ny ny ohatra (ny fanalahidy voatondro ao amin'ny ohatra config amin'ny dikan-teny ankehitriny ihany no raisina, ny lakile mahazatra taloha sy ny lakile avy amin'ny môdely sy ny antontan-taratasy dia tsy voasakana). Natolotra ny script manokana hijerena ny fisian'ny vulnerability amin'ny tambajotra.
Source: opennet.ru
