Penyelidik di Horizon3 telah melihat isu keselamatan dalam kebanyakan pemasangan platform analisis dan visualisasi data Superset Apache. Pada 2124 daripada 3176 pelayan awam Apache Superset yang dikaji, penggunaan kunci penyulitan generik yang dinyatakan secara lalai dalam fail konfigurasi sampel telah dikesan. Kunci ini digunakan dalam perpustakaan Flask Python untuk menjana kuki sesi, yang membolehkan penyerang yang mengetahui kunci untuk menjana parameter sesi rekaan, menyambung ke antara muka web Apache Superset dan memuatkan data daripada pangkalan data terikat atau mengatur pelaksanaan kod dengan hak Apache Superset .
Menariknya, para penyelidik pada mulanya melaporkan masalah itu kepada pembangun pada tahun 2021, selepas itu, dalam keluaran Apache Superset 1.4.1, yang dibentuk pada Januari 2022, nilai parameter SECRET_KEY telah digantikan dengan rentetan "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", semakan adalah ditambahkan pada kod, jika nilai ini mengeluarkan amaran kepada log.
Pada bulan Februari tahun ini, penyelidik memutuskan untuk mengimbas semula sistem yang terdedah dan mendapati bahawa beberapa orang memberi perhatian kepada amaran dan 67% daripada pelayan Apache Superset masih terus menggunakan kunci daripada contoh konfigurasi, templat penggunaan atau dokumentasi. Pada masa yang sama, beberapa syarikat besar, universiti dan agensi kerajaan adalah antara organisasi yang menggunakan kunci lalai.
Menentukan kunci yang berfungsi dalam konfigurasi sampel kini dilihat sebagai kelemahan (CVE-2023-27524), yang ditetapkan dalam keluaran Apache Superset 2.1 melalui output ralat yang menyekat pelancaran platform apabila menggunakan kunci yang ditentukan dalam contoh (hanya kunci yang dinyatakan dalam contoh konfigurasi versi semasa diambil kira, kunci jenis lama dan kunci daripada templat dan dokumentasi tidak disekat). Skrip khas telah dicadangkan untuk memeriksa kelemahan melalui rangkaian.
Sumber: opennet.ru