【漏洞复现】Apache Superset 未授权访问漏洞(CVE-2023-27524)

最新推荐文章于 2024-08-05 18:19:59 发布
最新推荐文章于 2024-08-05 18:19:59 发布
阅读量2.2k 收藏 3
点赞数
分类专栏: 漏洞复现 文章标签: apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46944519/article/details/130483576
版权
ApacheSuperset存在一个未授权访问的安全漏洞,允许攻击者验证并访问未经授权的资源。此漏洞影响2.0.1及其更早版本。文章提供了漏洞复现步骤和整改建议,包括使用工具检测和安装官方发布的补丁来修复问题。
摘要由CSDN通过智能技术生成

文章目录

前言

Apache Superset 存在未授权访问漏洞,攻击者可利用该漏洞验证和访问未经授权的资源。

声明

本篇文章仅用于漏洞复现与技术研究,请勿利用文章内的相关技术从事非法测试,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

一、Apache Superset 简介

Apache Superset 是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。

Apache Superset 2.0.1 版本及之前版本存在安全漏洞,攻击者可利用该漏洞验证和访问未经授权的资源。

CVE 编号:CVE-2023-27524 CNNVD 编号:CNNVD-202304-1915

二、影响范围

Apache Superset 2.0.1 版本及之前版本
在这里插入图片描述

三、漏洞复现

FOFA࿱

了解本专栏 订阅专栏 解锁全文 超级会员免费看
李火火安全阁
关注
专栏目录
订阅专栏
CVE-2020-13948 —— Apache Superset 远程代码执行漏洞
战神/calmness的博客
12-10 657
目录 Apache Superset组件介绍 描述 影响版本 过程 修复建议 CVE-2020-13948 | Apache Superset 远程代码执行漏洞 Apache Superset组件介绍 Apache Superset 是Airbnb公司开源的数据分析与可视化平台(曾用名Caravel、Panoramix),该工具主要特点是可自助分析、自定义仪表盘、分析结果可视化(导出)、用户/角色权限控制,还集成了SQL编辑器,可以进行SQL编辑查询等操作。 描述 9月15日Apac
supersetCVE-2023-27524)测试脚本
01-12
supersetCVE-2023-27524)测试脚本
Apache Superset 会话验证漏洞可导致攻击者访问授权资源
smellycat000的专栏
04-26 1155
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士今年年初早些时候,Apache Superset 中设置了不安全的默认配置,攻击者可借此登录并接管该数据可视化应用、窃取数据并执行恶意代码。该漏洞编号是CVE-2023-27524Apache Superset 基于 Python 的Flash 框架,默认配置公开已知的密钥 SECRET_KEY = '\2\1thisismyscretkey\...
授权访问漏洞(及其修复方法)---看这一篇就够!!
最新发布
C233333235的博客
08-05 3012
Redis 默认情况下,会绑定在 0.0.0.0:6379 ,如果没有进⾏采⽤相关的策略,⽐如添加防 ⽕墙规则避免其他⾮信任来源 ip 访问等,这样将会将 Redis 服务暴露到公⽹上,如果在没有设 置密码认证(⼀般为空)的情况下,会导致任意⽤户在可以访问⽬标服务器的情况下授权Redis 以及读取 Redis 的数据。
Apache Superset 授权访问漏洞(CVE-2023-27524)
holyxp的博客
06-30 674
Apache Superset 是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。
superset授权访问漏洞CVE-2023-27524复现
fly夏天的博客
01-12 1128
superset授权访问漏洞CVE-2023-27524复现,文章复现漏洞的具体利用细节 并提供的复现脚本
实战-ApacheSuperset授权访问漏洞(CVE-2023-27524)
Welcome To Myon'Blog !
01-19 1206
Apache Superset 是一个开源的现代数据探索和可视化平台Apache Superset 是一种广泛使用的数据可视化和探索开源工具,已被确定存在潜在的安全漏洞,可能导致身份验证绕过和远程代码执行 (RCE),这些漏洞可能使恶意行为者能够获得目标服务器上的管理权限,从而使他们能够收集用户凭据并可能危及数据。安装官方发布的升级修复补丁。
Apache Superset中存在严重漏洞
smellycat000的专栏
01-17 1376
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源数据可视化和数据探索平台Apache Superset 发布七份安全公告。Apache Superset 是一款现代数据探索和数据可视化平台,能够为很多团队替代或扩充专有的业务情报工具,能够很好地集成多种数据来源。Apache Superset 的SQL Alchemy 连接器中存在一个严重的SQL注入漏洞 (CVE-2022-41703),...
Apache Superset 存在授权访问漏洞(CVE-2023-27524)详细利用过程
nnn2188185的博客
05-03 2374
Apache Superset 是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。Apache Superset 2.0.1 版本及之前版本存在安全漏洞。攻击者利用该漏洞验证和访问授权的资源。
Apache Superset 授权访问漏洞(含批量验证poc)
weixin_43567873的博客
04-03 54
Apache Superset 授权访问漏洞(含批量验证poc)
OSCS开源安全周报第 59 期:Apache Superset<2.1.1 远程代码执行漏洞(CVE-2023-37941)
OSCS开源安全社区
09-11 550
OSCS 社区共收录安全漏洞个,公开漏洞值得关注的是远程代码执行漏洞( CVE-2023-37941 )、命令可绕过配置( CVE-2023-41053 )、集群密钥泄漏风险( CVE-2023-40029 )、注入漏洞( CVE-2023-39358 )。针对仓库,共监测到个不同版本的投毒组件,值得关注的是等投毒组件包窃取系统敏感信息(
CVE-2023-27524Apache Superset授权访问漏洞复现
薛定谔嘚喵博客
11-23 1473
由于Apache Superset存在不安全的默认配置,根据安装说明更改默认SECRET_KEY的系统受此漏洞影响,经身份认证的远程攻击者利用此漏洞可以访问授权的资源或执行恶意代码。
CVE-2023-27524 Apache Superset Auth Bypass|附检测工具
dust_hk的博客
05-08 929
简单来说session就是浏览器与服务器交互的门禁,通过session可以验证访问者的身份信息,大多数的session是保存在服务器端的,但是也有少部分保存在客户端的session,比如下面要说的flask框架。Apache Superset是基于python中的flask web框架编写的,flask是一个python轻量级web框架,它的session存储在客户端的cookie字段中。注:文章所涉及的技术内容仅供参考,利用本文所提供的信息造成的直接或间接后果和损失,均由使用者自行承担。
CVE-2023-27524 Apache Superset 身份认证绕过漏洞
YJ_12340的博客
06-19 684
Apache Superset是一个开源的数据可视化和数据探测平台,它基于Python构建,使用了一些类似于Django和Flask的Python web框架。提供了一个用户友好的界面,可以轻松地创建和共享仪表板、查询和可视化数据,也可以集成到其他应用程序中。由于用户在默认安装过程中,对SECRET_KEY的默认值进行更改,经身份验证的攻击者通过伪造管理员身份进行访问后台,并通过后台原本数据库执行功能实现命令执行操作。‍。
Apache Superset 身份认证绕过漏洞CVE-2023-27524
蚁景网安学院
06-20 830
Apache Superset是一个开源的数据可视化和数据探测平台,它基于Python构建,使用了一些类似于Django和Flask的Python web框架。提供了一个用户友好的界面,可以轻松地创建和共享仪表板、查询和可视化数据,也可以集成到其他应用程序中。
【高危】Apache Superset <2.1.0 认证绕过漏洞(POC)(CVE-2023-27524
murphysec的博客
04-28 880
Apache Superset 是一个开源的数据可视化和业务智能平台,可用于数据探索分析和数据可视化。 Apache Superset 受影响版本在使用默认的secret_key时,攻击者可通过默认的secret_key为任意用户生成有效的会话令牌,进而绕过验证造成信息泄露,甚至造成任意代码执行。
Apache Superset 漏洞导致服务器易遭RCE攻击
smellycat000的专栏
09-08 309
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Apache Superset 修复了两个漏洞,本可导致攻击者在受影响系统上获得远程代码执行权限。Apache Superset 更新版本 2.1.1 修复了两个漏洞CVE-2023-39265和CVE-2023-37941。一旦恶意人员获得对 Superset 元数据数据库的控制权限,就能够利用这两个漏洞执行恶意操作。除了这两个漏洞外,Supe...
某反序列化漏洞分析与复现工作
kali_Ma的博客
01-08 2695
0x00 概述 GENESIS64软件的多个版本存在反序列化漏洞,影响多个组件,例如: 根据CVE漏洞相关描述,下载对应GENESIS软件版本搭建环境,进行漏洞分析与复现工作。 【一>所有资源获取<一】 1、200份很多已经买不到的绝版电子书 2、30G安全大厂内部的视频资料 3、100份src文档 4、常见安全面试题 5、ctf大赛经典题目解析 6、全套工具包 7、应急响应笔记 8、网络安全学习路线 0x01 服务分析 安装完成后对整个系统进行熟悉,发现Web程序接口使用Silverl
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李火火安全阁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值