OSCS开源安全周报第 59 期:Apache Superset<2.1.1 远程代码执行漏洞(CVE-2023-37941)

于 2023-09-11 14:12:14 发布
阅读量509 收藏
点赞数
文章标签: 开源 安全 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/132805655
版权

本周安全态势综述

OSCS 社区共收录安全漏洞 7 个,公开漏洞值得关注的是 Apache Superset<2.1.1 远程代码执行漏洞( CVE-2023-37941 )、Redis SORT_RO命令可绕过 ACL 配置( CVE-2023-41053 )、Argo CD 集群密钥泄漏风险( CVE-2023-40029 )、Cacti<1.2.25 reports_user.php SQL注入漏洞( CVE-2023-39358 )。 针对 NPM  仓库,共监测到 48 个不同版本的投毒组件,值得关注的是 kwaishop-radar 等投毒组件包窃取 Mac 系统敏感信息(MPS-rtu2-sexb)。

重要安全漏洞列表

1、 Apache Superset<2.1.1 远程代码执行漏洞(CVE-2023-37941)

Apache Superset 是一个开源的数据可视化工具,metadata 数据库用于存储 Superset 元数据(如配置信息)。Python 的 pickle 包用于序列化和反序列化 Python 对象。

Apache Superset 2.1.1之前版本中使用 Python 的 pickle 包存储配置数据,对metadata数据库(如:SQLite)具有写访问权限的攻击者可通过SQL Lab等将恶意的 pickle 负载存储到 metadata 数据库,当 Su

最低0.47元/天 解锁文章
开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Superset 漏洞导致服务器易遭RCE攻击
smellycat000的专栏
09-08 275
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Apache Superset 修复了两个漏洞,本可导致攻击者在受影响系统上获得远程代码执行权限。Apache Superset 更新版本 2.1.1 修复了两个漏洞CVE-2023-39265和CVE-2023-37941。一旦恶意人员获得对 Superset 元数据数据库的控制权限,就能够利用这两个漏洞执行恶意操作。除了这两个漏洞外,Supe...
网络安全日报 2023年09月08日
Galaxy_0的博客
09-08 263
seq=33936伪装猎人(Camouflage Hunter),也称为 APT-C-60 或 APT-Q-12,自 2018 年以来一直针对中国人事咨询和贸易相关领域。自 2021 年之后,Camouflage Hunter 开始活跃在日本、新加坡、韩国。早人们认为他们通过攻击中国的人事咨询和贸易相关领域来获取经济利益,但在2023年2月之后的攻击中,也疑似针对政治、外交和军事官员的攻击,因此他们的目标可能不是简单的经济收益。
Spell-DBC
weixin_34194551的博客
10-06 384
Spell.dbc 1 ID2 Attributes 属性3 AttributesEx 属性 4 AttributesExB 属性5 AttributesExC 属性6 AttributesExD 属性7 AttributesExE 属性8 ...
OSCS开源安全周报第 55 :JeecgBoot 远程代码执行漏洞
murphysec的博客
08-14 823
OSCS 社区共收录安全漏洞 11 个,公开漏洞值得关注的是 JeecgBoot 远程代码执行漏洞、企业微信私有化后台API未授权访问漏洞、WPS Office 存在代码执行漏洞(MPS-3pcb-l4mv)、Microsoft Exchange Server 远程代码执行漏洞(CVE-2023-38182)、Smartbi未授权设置Token回调地址获取管理员权限(MPS-exyg-uhi8)。Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。
http://95u.free.fr/index.php,Electronic Software Distribution Service
热门推荐
weixin_39603327的博客
03-19 33万+
Content-Type: multipart/related; start=; boundary=----------OH5LlQ9dynBJGqR8E2AiMRContent-Location: https://software.pitt.edu/software/software.aspSubject: =?utf-8?Q?Electronic=20Software=20Distributi...
DLTA-ZnO为阴极界面层的高效非富勒烯有机太阳能电池.docx
12-15
有机太阳能电池(Organic Solar Cells, OSCs)因其高效能、轻便以及可柔性化的特点,近年来备受关注。非富勒烯有机太阳能电池(Non-Fullerene Organic Solar Cells, NF-OSCs)通过发展高效的光活性材料和界面材料,...
网络技术-网络基础-苝酰亚胺类电子受体材料的合成及其性能研究.pdf
04-19
苝酰亚胺(Perylene imides)是一类广泛研究的非富勒烯电子受体材料,由于其优良的特性,如光稳定性、热稳定性和化学稳定性,以及高摩尔消光系数和宽广的太阳光谱响应范围,使其在有机太阳能电池(OSCs)中具有潜在...
行业-电子政务-带有机太阳能电池的有机电致发光显示屏.zip
11-21
有机太阳能电池(Organic Solar Cells, OSCs)是一种新型的可再生能源技术,由有机或聚合物材料制成。相较于传统的硅基太阳能电池,它们具有轻便、柔韧和成本较低的优点,适合于各种创新应用。在电子政务设备中使用...
电子功用-导电聚合物组合物以及应用它的有机光电器件
09-15
尤其在有机光电器件(Organic Optoelectronic Devices,OLEDs)中,如有机发光二极管(Organic Light-Emitting Diodes, OLEDs)、有机太阳能电池(Organic Solar Cells, OSCs)等。本资料详细介绍了导电聚合物的合成...
电子功用-含异靛基聚合物及其制备方法和有机太阳能电池器件
09-15
有机太阳能电池(Organic Solar Cells, OSCs)是太阳能转化技术的一种重要分支,因其轻便、可塑性高和成本相对较低等特性,近年来受到了广泛的关注。 含异靛基聚合物是一种特殊的有机高分子材料,它的结构中含有异...
漏洞预警】开源数据标注平台 Label Studio 曝出 SSRF 漏洞
OSCS开源安全社区
06-23 286
6月15日,OSCS 社区监控到开源数据标注平台 Label Studio 存在 SSRF(服务端请求伪造)漏洞,攻击者可利用该漏洞进行内网扫描甚至访问内部系统数据
Python 假设有列表 a=[‘name’,’age’,’sex’]和b=[‘Dog’,38,’Male’],请编写程序将这两个列表的内容转换为字典
intials_gys的博客
11-16 2万+
假设有列表 a=[‘name’,’age’,’sex’]和b=[‘Dog’,38,’Male’],请编写程序将这两个列表的内容转换为字典,并且以列表a中的元素为“键”,以列表b中的元素为“值” 练习题 2018.10.11 d = {'a':1,'b':2} a = input("s") print (d.get(a,0))  ...
Mybatis-Plus07通用枚举&08代码生成器&09多数据源&10MybatisX插件
sweet987250的博客
07-05 617
Mybatis-Plus07通用枚举&08代码生成器&09多数据源&10MybatisX插件
JavaScript之三元运算符
流年
06-03 3万+
三元条件运算符 格式: 表达式1?表达式2:表达式3 说明:如果表达式1为true ,则整个表达式的结果就是表达式2的值,如果表达式false,则整个表达式的结果就是表达式3的值. 例子: 1、使用三元运算符计算2个数的最大值 var a,b,c; a=window.prompt("第1个数");//从页面中接受的是字符串 b=window.prompt("第2个数");
first season last episode,Rachel finds out Ross likes her,what would she do???
xiyangxia666hui的博客
07-24 797
[Scene: Central Perk, the whole gang is there, Ross is showing pictures of his new baby boy, Ben, to the group.] Ross: And here's little Ben nodding off… Monica: Awww, look at Aunt Monica's little boy! Phoebe: Oh, look, he's got Ross's haircut! Rachel: Oh,
Python 程序设计(第二版)董付国_清华大学出版社_习题答案与分析【针对8.4及其之前的】
HWP
06-23 5万+
CSDN下载:https://download.csdn.net/download/weixin_42859280/11254583 百度云:链接:https://pan.baidu.com/s/1iLe8CQ_Io9HOzM06x59IDw提取码:bt08 点击跳转:Python 程序设计(第二版)董付国_清华大学出版社_习题答案【未处理1-9章】 前言: 红色字体,为问题 蓝色字体,...
HTTP协议2
csdn_mx的博客
08-12 1251
034.HTML与表单 HTML: HyperText Markup Language, 结构化标记语言(非变编程语言),浏览器可以将HTML文件渲染为可视化网页 FORM表单: HTML中的元素,提供了交互控件来向服务器通过HTTP协议提交信息,常见的空间有 Text Input Controls: 文本输入控件 Checkboxes Contro...
dd.fun.php,XPagesExtensionLibrary/Mark_2fUnmark Document As Expired.lsa at master · OpenNTF/XPagesEx...
weixin_42351606的博客
03-18 2万+
replicaid='CCC578FD00056DEB'>19951129T095149,38-0520120305T082326,57+0020120305T082326,56+0020120305T082326,57+0020120207T100339,51+00CN=Simon McLoughlin/OU=Ireland/O=IBMCN=Simon McLoughlin/OU=Irel...
SEx2p参考代码
hxy17682323970的博客
03-26 5149
6-1 数组指针与二维数组的关系 利用数组指针p将main函数中输入的二维数组a的所有元素输出, 要求先按行的顺序输出,然后再以列的顺序输出, 其中输出整型格式用 “%3d”, (测试用数据大小不要超过2位数)。 参考代码: void reOut(int (*p)[3]) { int i, j; for (i = 0; i < 2; i++) { for (j = 0; j ...
欧拉22.03版本的 yum源配置
最新发布
04-18
baseurl=http://mirror.euler.oscs.io/euler/22.03/os/x86_64/ enabled=1 gpgcheck=0 ``` 这里的baseurl指定了yum源的地址,可以根据实际情况进行修改。 5. 保存并退出配置文件。 6. 运行以下命令来清除缓存并更新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值