Apache Superset中存在严重漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

开源数据可视化和数据探索平台Apache Superset 发布七份安全公告。

Apache Superset 是一款现代数据探索和数据可视化平台，能够为很多团队替代或扩充专有的业务情报工具，能够很好地集成多种数据来源。

Apache Superset 的SQL Alchemy 连接器中存在一个严重的SQL注入漏洞 (CVE-2022-41703)，影响版本1.5.2及之前版本以及2.0.0版本。安全公告指出，该漏洞可导致“对特定数据库具有读权限的认证用户将子查询添加至同样数据库WHERE和HAVING字段参考表单中，而虽然用户禁用了该特性标记 ‘ALLOW_ADHOC_SUBQUERY’（默认值），但仍不应该具有该权限”。

Superset 1.5.3和2.0.1版本修复了该漏洞。目前并不存在临时的应变措施，Superset开发人员将其评级为“严重”级别，并建议用户尽快安装更新。

Superset中还存在两个中危漏洞，它们分别是CSRF 漏洞CVE-2022-43719和开放重定向漏洞CVE-2022-43721。另外还修复了四个低危漏洞：

• CVE-2022-43720：具有CSS模板写权限的认证攻击者可创建具有特定HTML标签的记录，当用户删除该记录时，这些标签无法由显示的toast报文逃逸。

• CVE-2022-43718：上传数据表格未正确渲染用户输入，导致具有数据库连接更新权限的认证用户可执行XSS攻击。

• CVE-2022-45438：当直接启用特性标记DASHBOARD_CACHE（默认禁用）时，该系统允许未认证用户使用REST API Get端点访问仪表盘配置元数据。

• CVE-2022-43717：仪表盘渲染未能充分清理markdown组件的内容，可能导致具有创建仪表盘权限的认证用户执行XSS攻击。

这些问题由Positive Technologies 公司和Sunny Alexli 发现，影响1.5.2及之前版本和2.0.0版本，已在1.5.3和2.0.1版本中修复。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

---

推荐阅读

Apache ShardingSphere身份认证绕过漏洞(CVE-2022-45347)安全风险通告

速修复！Apache Commons Text 存在严重漏洞，堪比Log4Shell

Apache开源项目 Xalan-J 整数截断可导致任意代码执行

速修复！这个严重的 Apache Struts RCE 漏洞补丁不完整

Apache Cassandra 开源数据库软件修复高危RCE漏洞

原文链接

https://securityonline.info/cve-2022-41703-apache-superset-sql-injection-vulnerability/

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~