Horizon3 හි පර්යේෂකයන් Apache Superset දත්ත විශ්ලේෂණය සහ දෘශ්යකරණ වේදිකාවේ බොහෝ ස්ථාපනවල ආරක්ෂක ගැටළු නිරීක්ෂණය කර ඇත. අධ්යයනය කරන ලද Apache Superset පොදු සේවාදායකයන් 2124 න් 3176 කදී, නියැදි වින්යාස ගොනුවේ පෙරනිමියෙන් නිශ්චිතව දක්වා ඇති සාමාන්ය සංකේතාංකන යතුර භාවිතය අනාවරණය විය. මෙම යතුර Flask Python පුස්තකාලයේ සැසි කුකී ජනනය කිරීමට භාවිතා කරයි, එමඟින් යතුර දන්නා ප්රහාරකයෙකුට ව්යාජ සැසි පරාමිති උත්පාදනය කිරීමට, Apache Superset වෙබ් අතුරු මුහුණතට සම්බන්ධ වීමට සහ බැඳුනු දත්ත සමුදායන්ගෙන් දත්ත පැටවීමට හෝ Apache Superset හිමිකම් සමඟ කේත ක්රියාත්මක කිරීම සංවිධානය කිරීමට ඉඩ සලසයි. .
සිත්ගන්නා කරුණ නම්, පර්යේෂකයන් 2021 දී ගැටලුව පිළිබඳව සංවර්ධකයින්ට මුලින් දැනුම් දුන් අතර, පසුව, 1.4.1 ජනවාරි මාසයේදී පිහිටුවන ලද Apache Superset 2022 නිකුතුවේදී, SECRET_KEY පරාමිතියේ අගය "CHANGE_ME_TO_A_COMPLEX_RANDOM" යන තන්තුවෙන් ප්රතිස්ථාපනය කරන ලදී. ලොගයට අනතුරු ඇඟවීමක් නිකුත් කරන අගයක් නම්, කේතයට එකතු කරන ලදී.
මෙම වසරේ පෙබරවාරි මාසයේදී, පර්යේෂකයන් අවදානමට ලක්විය හැකි පද්ධති නැවත පරිලෝකනය කිරීමට තීරණය කළ අතර, සුළු පිරිසක් අනතුරු ඇඟවීම කෙරෙහි අවධානය යොමු කරන අතර Apache Superset සේවාදායකයන්ගෙන් 67% ක් තවමත් වින්යාස කිරීමේ උදාහරණ, යෙදවුම් සැකිලි හෝ ලේඛන වලින් යතුරු භාවිතා කරන බව සොයා ගත්හ. ඒ අතරම, සමහර විශාල සමාගම්, විශ්ව විද්යාල සහ රාජ්ය ආයතන පෙරනිමි යතුරු භාවිතා කරන සංවිධාන අතර විය.
නියැදි වින්යාසය තුළ ක්රියාකාරී යතුරක් සඳහන් කිරීම දැන් අවදානමක් (CVE-2023-27524) ලෙස සලකනු ලැබේ, එය Apache Superset 2.1 නිකුතුවේදී නිශ්චිතව දක්වා ඇති යතුර භාවිතා කරන විට වේදිකාව දියත් කිරීම අවහිර කරන දෝෂයක ප්රතිදානය හරහා ස්ථාවර වේ. උදාහරණයේ (වත්මන් අනුවාදයේ වින්යාස කිරීමේ උදාහරණයේ දක්වා ඇති යතුර පමණක් සැලකිල්ලට ගනී, පැරණි වර්ගයේ යතුරු සහ සැකිලි සහ ලේඛන වලින් යතුරු අවහිර නොකෙරේ). ජාලය හරහා අවදානමක් තිබේදැයි පරීක්ෂා කිරීමට විශේෂ පිටපතක් යෝජනා කර ඇත.
මූලාශ්රය: opennet.ru