Ang mga mananaliksik mula sa Horizon3 ay nagbigay pansin sa mga problema sa seguridad sa karamihan ng mga pag-install ng Apache Superset data analysis at visualization platform. Sa 2124 sa 3176 pampublikong server na pinag-aralan sa Apache Superset, ang paggamit ng karaniwang encryption key na tinukoy bilang default sa halimbawang configuration file ay nakita. Ang key na ito ay ginagamit sa Flask Python library para bumuo ng session Cookies, na nagbibigay-daan sa isang attacker na nakakaalam ng key na bumuo ng mga kathang-isip na mga parameter ng session, kumonekta sa Apache Superset web interface at mag-load ng data mula sa mga naka-link na database, o mag-ayos ng code execution gamit ang mga karapatan ng Apache Superset .
Kapansin-pansin, una nang ipinaalam ng mga mananaliksik sa mga developer ang tungkol sa problema noong 2021, pagkatapos nito sa paglabas ng Apache Superset 1.4.1, na nabuo noong Enero 2022, ang halaga ng SECRET_KEY parameter ay pinalitan ng linyang "CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET", ang isang tseke ay idinagdag sa code, kung ang mga halagang ito ay naglalabas ng babala sa log.
Noong Pebrero ng taong ito, nagpasya ang mga mananaliksik na ulitin ang pag-scan ng mga mahihinang sistema at nahaharap sa katotohanan na kakaunti ang mga tao na nagbigay pansin sa babala at 67% ng mga server ng Apache Superset ay patuloy pa ring gumagamit ng mga susi mula sa mga halimbawa ng pagsasaayos, mga template ng pag-deploy o dokumentasyon. Kasabay nito, ang ilang malalaking kumpanya, unibersidad at ahensya ng gobyerno ay kabilang sa mga organisasyong gumagamit ng mga default na key.
Ang pagtukoy ng gumaganang key sa isang halimbawang configuration ay itinuturing na ngayon bilang isang kahinaan (CVE-2023-27524), na naayos sa paglabas ng Apache Superset 2.1 sa pamamagitan ng output ng isang error na humaharang sa platform mula sa pagsisimula kapag ginagamit ang key na tinukoy sa ang halimbawa (tanging ang key na tinukoy sa halimbawang configuration ng kasalukuyang bersyon ang isinasaalang-alang, ang mga lumang standard na key at key mula sa mga template at dokumentasyon ay hindi hinarangan). Ang isang espesyal na script ay iminungkahi upang suriin ang pagkakaroon ng mga kahinaan sa network.
Pinagmulan: opennet.ru