【安全通告】Apache Superset 身份认证绕过漏洞风险通告（CVE-2023-27524）

尊敬的腾讯云用户，您好！

腾讯云安全中心监测到， Apache 官方发布安全通告，披露了其 Apache Superset 存在身份认证绕过漏洞，漏洞编号CVE-2023-27524。可导致攻击者绕过身份认证并访问未授权资源。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

据官方描述，由于在安装时存在默认配置的 SECRET_KEY，可导致攻击者伪造身份认证并访问敏感接口等资源。

风险等级

高风险

漏洞风险

攻击者利用该漏洞可伪造身份认证

影响版本

Apache Superset < 2.1.0

安全版本

Apache Superset >= 2.1.0

修复建议

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本

临时缓解措施：
参照官方说明修改默认的配置密钥
https://superset.apache.org/docs/installation/configuring-superset/#secret_key-rotation

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

2023-04-28