CVE-2020-13948 —— Apache Superset 远程代码执行漏洞

最新推荐文章于 2024-01-12 11:00:28 发布
最新推荐文章于 2024-01-12 11:00:28 发布
阅读量649 收藏
点赞数 1
分类专栏: CVE 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43650289/article/details/109114266
版权
Apache Superset是一款开源数据分析与可视化平台,存在远程代码执行漏洞CVE-2020-13948。经认证的用户可通过模板化文本字段触发,访问Python的os包,执行包括文件操作、环境变量读取、进程信息获取在内的恶意代码。影响版本为0.37.1之前。建议受影响用户升级到最新版本以修复此问题。
摘要由CSDN通过智能技术生成

目录

Apache Superset组件介绍

描述

影响版本

过程

修复建议

CVE-2020-13948 | Apache Superset 远程代码执行漏洞

Apache Superset组件介绍

Apache Superset 是Airbnb公司开源的数据分析与可视化平台(曾用名Caravel、Panoramix),该工具主要特点是可自助分析、自定义仪表盘、分析结果可视化(导出)、用户/角色权限控制,还集成了SQL编辑器,可以进行SQL编辑查询等操作。

描述

9月15日Apache软件基金会发布安全公告,修复了Apache Superset远程代码执行漏洞(CVE-2020-13948)。

在调查有关Apache Superset的错误报告时,确认经过身

了解本专栏 订阅专栏 解锁全文 超级会员免费看
战神/calmness
关注
专栏目录
订阅专栏
漏洞复现】Apache Superset 未授权访问漏洞(CVE-2023-27524)
做自己喜欢的事,并将其发挥到极致!
05-04 2271
Apache Superset 是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。Apache Superset 2.0.1 版本及之前版本存在安全漏洞,攻击者可利用该漏洞验证和访问未经授权的资源。
Apache Superset中存在严重漏洞
smellycat000的专栏
01-17 1371
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源数据可视化和数据探索平台Apache Superset 发布七份安全公告。Apache Superset 是一款现代数据探索和数据可视化平台,能够为很多团队替代或扩充专有的业务情报工具,能够很好地集成多种数据来源。Apache Superset 的SQL Alchemy 连接器中存在一个严重的SQL注入漏洞 (CVE-2022-41703),...
Apache Superset 未授权访问漏洞(CVE-2023-27524)
holyxp的博客
06-30 661
Apache Superset 是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。
Apache Superset 会话验证漏洞可导致攻击者访问未授权资源
smellycat000的专栏
04-26 1149
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士今年年初早些时候,Apache Superset 中设置了不安全的默认配置,攻击者可借此登录并接管该数据可视化应用、窃取数据并执行恶意代码。该漏洞编号是CVE-2023-27524。Apache Superset 基于 Python 的Flash 框架,默认配置公开已知的密钥 SECRET_KEY = '\2\1thisismyscretkey\...
Apache Superset 漏洞导致服务器易遭RCE攻击
smellycat000的专栏
09-08 306
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Apache Superset 修复了两个漏洞,本可导致攻击者在受影响系统上获得远程代码执行权限。Apache Superset 更新版本 2.1.1 修复了两个漏洞CVE-2023-39265和CVE-2023-37941。一旦恶意人员获得对 Superset 元数据数据库的控制权限,就能够利用这两个漏洞执行恶意操作。除了这两个漏洞外,Supe...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
CVE-2020-15778漏洞-——快速升级——openssh8.6.p1.tar.gz
06-21
OpenSSH 命令注入漏洞(CVE-2020-15778),文件包含installs.sh、openssh-8.6p1.tar.gz、openssl-1.1.1k.tar.gz、zlib-1.2.11.tar.gz。升级时候将openssh.tar.gz放至/home下解压,进入openssh目录,执行chmod +x ...
CVE-2020-11998 —— Apache ActiveMQ 远程代码执行漏洞
战神/calmness的博客
12-10 1253
目录 Apache ActiveMQ 组件介绍 描述 影响版本 过程 修复建议 CVE-2020-11998 | Apache ActiveMQ 远程代码执行漏洞 Apache ActiveMQ 组件介绍 Apache ActiveMQ是Apache软件基金会所研发的开放源代码消息中间件;由于ActiveMQ是一个纯Java程序,因此只需要操作系统支持Java虚拟机,ActiveMQ便可执行。 描述 9月10日Apache软件基金会发布安全公告,修复了Apache Active.
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
superset未授权访问漏洞CVE-2023-27524)复现
最新发布
fly夏天的博客
01-12 1058
superset未授权访问漏洞CVE-2023-27524)复现,文章复现了漏洞的具体利用细节 并提供的复现脚本
Apache Superset 身份认证绕过漏洞CVE-2023-27524)
蚁景网安学院
06-20 823
Apache Superset是一个开源的数据可视化和数据探测平台,它基于Python构建,使用了一些类似于Django和Flask的Python web框架。提供了一个用户友好的界面,可以轻松地创建和共享仪表板、查询和可视化数据,也可以集成到其他应用程序中。
CVE-2020-13948: Apache Superset远程代码执行漏洞
爱国小白帽
09-20 2120
360CERT [三六零CERT](javascript:void(0)???? 昨天 报告编号:B6-2020-091901 报告来源:360CERT 报告作者:360CERT 更新日期:2020-09-19 0x01 漏洞简述 2020年09月19日,360CERT监测发现 Apache 邮件组 发布了 superset 代码执行漏洞 的风险通告,该漏洞编号为 CVE-2020-13948漏洞等级:高危,漏洞评分:7.2。 经过身份验证的远程攻击者通过发送特制的请求包,可以造成 远程代码执行 影响
Apache Superset 存在未授权访问漏洞(CVE-2023-27524)详细利用过程
nnn2188185的博客
05-03 2360
Apache Superset 是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。Apache Superset 2.0.1 版本及之前版本存在安全漏洞。攻击者利用该漏洞验证和访问未经授权的资源。
tomcat远程调试_Apache Tomcat 反序列化远程代码执行漏洞
weixin_39996134的博客
12-04 641
2020年5月20日,Apache Tomcat官方发布安全公告,披露了一个通过集群同步session导致远程代码执行漏洞。当tomcat服务器使用了自带session同步功能时,不安全的配置(没有使用EncryptInterceptor)导致存在反序列化漏洞,通过精心构造的数据包,可以对使用了tomcat自带session同步功能的服务器进行攻击。攻击者利用该漏洞可实现远程代码执行,...
【高危】Apache Superset <2.1.0 认证绕过漏洞(POC)(CVE-2023-27524)
murphysec的博客
04-28 878
Apache Superset 是一个开源的数据可视化和业务智能平台,可用于数据探索分析和数据可视化。 Apache Superset 受影响版本在使用默认的secret_key时,攻击者可通过默认的secret_key为任意用户生成有效的会话令牌,进而绕过验证造成信息泄露,甚至造成任意代码执行
Apache Solr远程代码执行漏洞CVE-2019-0193)复现操作
weixin_45983744的博客
12-11 659
QQ交流学习群:811401950 一. 漏洞描述 2019年11月16日,Apache官方发布Apache Solr远程代码执行漏洞CVE-2019-0193)安全通告,此漏洞存在于可选模块DataImportHandler 中,DataImportHandler是用于从数据库或其他源提取数据的常用模块,该模块中所有DIH配置都可以通过外部请求的dataConfig参 数来设置,由于DIH配置...
某反序列化漏洞分析与复现工作
kali_Ma的博客
01-08 2680
0x00 概述 GENESIS64软件的多个版本存在反序列化漏洞,影响多个组件,例如: 根据CVE漏洞相关描述,下载对应GENESIS软件版本搭建环境,进行漏洞分析与复现工作。 【一>所有资源获取<一】 1、200份很多已经买不到的绝版电子书 2、30G安全大厂内部的视频资料 3、100份src文档 4、常见安全面试题 5、ctf大赛经典题目解析 6、全套工具包 7、应急响应笔记 8、网络安全学习路线 0x01 服务分析 安装完成后对整个系统进行熟悉,发现Web程序接口使用Silverl
CVE-2020-13942 (Apache Unomi 远程代码执行漏洞复现)
痴人说梦梦中人
11-26 909
一、漏洞描述 Apache Unomi 是一个基于标准的客户数据平台(CDP,Customer Data Platform),用于管理在线客户和访客等信息,以提供符合访客隐私规则的个性化体验,比如 GDPR 和“不跟踪”偏好设置。其最初于 Jahia 开发,2015 年 10 月 Unomi 成为Apache 软件基金会项目。在Apache Unomi 1.5.1版本之前,攻击者可以通过精心构造的MVEL或ONGl表达式来发送恶意请求,使得Unomi服务器执行任意代码漏洞对应编号为CVE-2020-119
Apache Unomi 1.5.2以下版本面临CVE-2020-13942远程代码执行漏洞
"CVE-2020-13942 是一个针对Apache Unomi的严重安全漏洞,涉及远程代码执行(Remote Code Execution, RCE)风险。Apache Unomi 是一款开源的事件管理和分析平台,用于收集、处理和分析应用程序的日志和事件数据。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

战神/calmness

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值