尊敬的腾讯云用户,您好!
腾讯云安全中心监测到, Apache 官方发布安全通告,披露了其 Apache Superset 存在身份认证绕过漏洞,漏洞编号CVE-2023-27524。可导致攻击者绕过身份认证并访问未授权资源。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
据官方描述,由于在安装时存在默认配置的 SECRET_KEY,可导致攻击者伪造身份认证并访问敏感接口等资源。
风险等级
高风险
漏洞风险
攻击者利用该漏洞可伪造身份认证
影响版本
Apache Superset < 2.1.0
安全版本
Apache Superset >= 2.1.0
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
临时缓解措施:
参照官方说明修改默认的配置密钥
https://superset.apache.org/docs/installation/configuring-superset/#secret_key-rotation
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://lists.apache.org/thread/n0ftx60sllf527j7g11kmt24wvof8xyk
2023-04-28