Studiuesit në Horizon3 kanë vërejtur probleme sigurie në shumicën e instalimeve të platformës së analizës dhe vizualizimit të të dhënave Apache Superset. Në 2124 nga 3176 serverë publikë Apache Superset të studiuara, u zbulua përdorimi i çelësit të përgjithshëm të enkriptimit të specifikuar si parazgjedhje në skedarin e konfigurimit të mostrës. Ky çelës përdoret në bibliotekën Flask Python për të gjeneruar kuki të sesioneve, gjë që lejon një sulmues që e njeh çelësin të gjenerojë parametra fiktive të sesionit, të lidhet me ndërfaqen e internetit Apache Superset dhe të ngarkojë të dhëna nga bazat e të dhënave të lidhura ose të organizojë ekzekutimin e kodit me të drejtat e Apache Superset .
Interesante, studiuesit fillimisht raportuan problemin te zhvilluesit në vitin 2021, pas së cilës, në lëshimin e Apache Superset 1.4.1, të formuar në janar 2022, vlera e parametrit SECRET_KEY u zëvendësua me vargun "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET" shtuar në kod, nëse kjo vlerëson nxjerrjen e një paralajmërimi në regjistër.
Në shkurt të këtij viti, studiuesit vendosën të skanojnë sistemet e cenueshme dhe zbuluan se pak njerëz i kushtojnë vëmendje paralajmërimit dhe 67% e serverëve Apache Superset ende vazhdojnë të përdorin çelësat nga shembujt e konfigurimit, shabllonet e vendosjes ose dokumentacioni. Në të njëjtën kohë, disa kompani të mëdha, universitete dhe agjenci qeveritare ishin ndër organizatat që përdornin çelësat e paracaktuar.
Specifikimi i një çelësi pune në konfigurimin e mostrës tani perceptohet si një dobësi (CVE-2023-27524), e cila fiksohet në lëshimin e Apache Superset 2.1 përmes daljes së një gabimi që bllokon nisjen e platformës kur përdoret çelësi i specifikuar në shembull (merret parasysh vetëm çelësi i specifikuar në shembullin e konfigurimit të versionit aktual, çelësat e tipit të vjetër dhe çelësat nga shabllonet dhe dokumentacioni nuk janë të bllokuar). Një skript i veçantë është propozuar për të kontrolluar për një cenueshmëri në rrjet.
Burimi: opennet.ru