首页 > 安全公告 > 正文

关于Apache Superset 后台远程代码执行漏洞(CVE-2023-37941)的安全公告

来源:时间:2023-09-19点击数:

大工网安告[2023]028

一、情况分析

Apache Superset是一个开源的数据探索和可视化平台,提供了快速创建数据可视化互动仪表盘、丰富的可视化图表模板、细粒度高可扩展性的安全访问模型等强大功能,可以轻松对数据进行可视化分析。

漏洞详情

Apache Superset 2.1.1之前版本中使用Python的pickle包存储配置数据,对metadata数据库(如:SQLite)具有写访问权限的攻击者可通过SQL Lab等将恶意的pickle负载存储到metadata数据库,当Superset的Web后端反序列化该对象时触发远程代码执行。

二、影响范围

Apache Superset<2.1.1

三、处置方法

官方补丁

官方已修复该漏洞,建议用户更新到安全版本。

安全版本

Apache Superset >= 2.1.1

参考链接

https://github.com/apache/superset/commit/1d61ac17839c588bae2


上一条:关于Apache Tomcat JK Connector信息泄露漏洞(CVE-2023-41081)的安全公告 下一条:关于Apache Airflow Sqoop Provider 远程代码执行漏洞(CVE-2023-27604)的安全公告

地址:大连市甘井子区凌工路2号,大连理工大学 邮编:116024

电话:0411-84708645 copyright2013 大连理工大学网络与信息化中心