Apache Superset 未授权访问漏洞(含批量验证poc)

已于 2024-04-03 14:49:44 修改
阅读量45 收藏
点赞数
分类专栏: 漏洞复现 文章标签: apache web安全
于 2024-04-03 14:48:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/137345550
版权
Apache Superset是一款数据可视化工具,存在未授权访问漏洞,影响2.0.1及以前版本。攻击者可利用此漏洞验证并访问未经授权的资源。文章介绍了漏洞复现步骤,包括利用工具下载、安装和爆破cookie值的过程。
摘要由CSDN通过智能技术生成

简介

Apache Superset 是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。
它具有快速、轻量、直观的特点,任何用户都可以轻松地上手探索他们的数据。从非常简单的饼图到复杂的地理空间图,Superset都给到了非常好的支持。
Apache Superset 2.0.1 版本及之前版本存在安全漏洞,攻击者可利用该漏洞验证和访问未经授权的资源。

影响版本

Apache Superset 2.0.1 版本及之前版本
CVE 编号:CVE-2023-27524
CNNVD 编号:CNNVD-202304-1915

Hunter:app.name="Apache Superset"

漏洞复现

漏洞利用工具下载:

https://github.com/horizon3ai/CVE-2023-27524

了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
专栏目录
订阅专栏
CVE-2023-27524Apache Superset授权访问漏洞复现
薛定谔嘚喵博客
11-23 1461
由于Apache Superset存在不安全的默认配置,根据安装说明更改默认SECRET_KEY的系统受此漏洞影响,经身份认证的远程攻击者利用漏洞可以访问授权的资源或执行恶意代码。
CVE-2023-27524 Apache Superset 身份认证绕过漏洞
YJ_12340的博客
06-19 673
Apache Superset是一个开源的数据可视化和数据探测平台,它基于Python构建,使用了一些类似于Django和Flask的Python web框架。提供了一个用户友好的界面,可以轻松地创建和共享仪表板、查询和可视化数据,也可以集成到其他应用程序中。由于用户在默认安装过程中,对SECRET_KEY的默认值进行更改,经身份验证的攻击者通过伪造管理员身份进行访问后台,并通过后台原本数据库执行功能实现命令执行操作。‍。
Apache Superset 授权访问漏洞(CVE-2023-27524)
holyxp的博客
06-30 662
Apache Superset 是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。
实战-ApacheSuperset授权访问漏洞(CVE-2023-27524)
Welcome To Myon'Blog !
01-19 1165
Apache Superset 是一个开源的现代数据探索和可视化平台Apache Superset 是一种广泛使用的数据可视化和探索开源工具,已被确定存在潜在的安全漏洞,可能导致身份验证绕过和远程代码执行 (RCE),这些漏洞可能使恶意行为者能够获得目标服务器上的管理权限,从而使他们能够收集用户凭据并可能危及数据。安装官方发布的升级修复补丁。
2023 HW 必修高危漏洞集合
holyxp的博客
07-21 3329
高危风险漏洞一直是企业网络安全防护的薄弱点,也成为 HW 攻防演练期间红队的重要突破口;每年 HW 期间爆发了大量的高危风险漏洞成为红队突破网络边界防护的一把利器,很多企业因为这些高危漏洞而导致整个防御体系被突破、甚至靶标失守而遗憾出局。HW 攻防演练在即,输出HW 必修高危漏洞手册,意在帮助企业在 HW 攻防演练的前期进行自我风险排查,降低因高危漏洞而“城池失守”的风险。
漏洞复现】Apache Superset 授权访问漏洞(CVE-2023-27524)
做自己喜欢的事,并将其发挥到极致!
05-04 2271
Apache Superset 是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。Apache Superset 2.0.1 版本及之前版本存在安全漏洞,攻击者可利用漏洞验证访问授权的资源。
Apache Superset 存在授权访问漏洞(CVE-2023-27524)详细利用过程
nnn2188185的博客
05-03 2360
Apache Superset 是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。Apache Superset 2.0.1 版本及之前版本存在安全漏洞。攻击者利用漏洞验证访问授权的资源。
Apache Superset 身份认证绕过漏洞
05-05
Apache Superset 身份认证绕过漏洞
Apache SeaTunnel Zeta 引擎源码解析(二) Client端的任务提交流程
weixin_54625990的博客
09-11 917
大家好,我是刘乃杰,一名大数据开发工程师,参与Apache SeaTunnel的开发也有一年多的时间了,不仅给SeaTunnel提交了一些PR,而且添加的一些功能也非常有意思,欢迎大家来找我交流,其中包括支持Avro格式文件,SQL Transform中支持嵌套结构查询,给节点添加Tag达到资源隔离等。接之前的文章:下面我们会再从一个简单的任务开始, 从客户端看下任务的提交流程。
Apache 的CollectionUtils各种集合操作好用的方法总结
小湘西的博客
09-11 846
Apache Commons Collections 提供的一个工具类,包了许多静态方法,用于操作和处理集合。
Apache Spark Streaming技术深度解析
最新发布
喜欢猪猪
09-14 574
Apache Spark Streaming是Apache Spark生态系统中用于处理实时数据流的一个重要组件。它将输入数据分成小批次(micro-batch),然后利用Spark的批处理引擎进行处理,从而结合了批处理和流处理的优点。这种处理方式使得Spark Streaming既能够保持高吞吐量,又能够处理实时数据流。Apache Spark Streaming是一个强大的实时数据处理框架,它结合了批处理和流处理的优点,提供了高吞吐量、容错性和灵活性。
uniapp 小程序样式兼容
u010865136的专栏
09-10 436
<span>标签经过小程序编译后会变成label标签,css中span样式的位置label标签。div中几个元素,不要主组件中div一部分,子组件又是div的一部分,这样小程序里样式加载不出来哦。使用uniapp 一起开发h5和小程序版本,在h5上样式是正常的,但是小程序里样式生效。* <span>标签位置添加class,class在h5和小程序中都兼容。<ul> <li>标签 <span>标签经过小程序编译后会变成view标签。* 标签位置添加class,class在h5和小程序中都兼容。
基于 TDMQ for Apache Pulsar 的跨地域复制实践
qq_36668144的博客
09-10 1212
自2024年9月6日起,TDMQ Pulsar 版专业集群支持消息、元数据两级跨地域复制功能,消息级复制解决用户全球地域的数据统一归档问题,元数据级复制提供解决用户核心业务跨地域容灾的场景。
APACHE-ATLAS-2.1.0 - 基础运维
记录并分享
09-10 661
(一)SOLR相关 1. 如何创建/删除集合? # 1. 删除 solr/bin/solr delete -c vertex_index solr/bin/solr delete -c edge_index solr/bin/solr delete -c fulltext_index # 2. 创建 solr/bin/solr create -c vertex_index -force -d conf/solr/ solr/bin/solr create -c edge_index -force -d c
对比介绍Java Servlet API (javax.servlet)和Apache HttpClient这两个库
QQ1817117243的博客
09-11 510
【代码】对比介绍一下Java Servlet API (javax.servlet)和Apache HttpClient这两个库。
Apache POI用法
qq_57828911的博客
09-10 782
Apache POI是用Java编写的免费开源的跨平台的Java API,Apache POI提供API给Java程序对Microsoft Office格式档案读和写的功能,其中使用最多的就是使用POI操作Excel文件。XSSF - 提供读写Microsoft Excel OOXML XLSX格式档案的功能。HSSF - 提供读写Microsoft Excel XLS格式档案的功能。HWPF - 提供读写Microsoft Word DOC格式档案的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值