Apache · Apache Superset · CVE-2024-39887
Nome do software vulnerável e versões afetadas:
Versões do Apache Superset anteriores à 4.0.2
Descrição:
O problema está relacionado a uma vulnerabilidade de injeção de SQL devido à neutralização inadequada de elementos especiais usados em comandos SQL. Especificamente, certas funções específicas do mecanismo não são verificadas, o que permite que invasores contornem a autorização SQL do Apache Superset. A vulnerabilidade está associada às funções `version`, `query to xml`, `inet server addr` e `inet client addr`.
Recomendações:
Para mitigar este problema, atualize para a versão 4.0.2, que corrige a falha. Como solução temporária, considere introduzir uma nova chave de configuração chamada `DISALLOWED SQL FUNCTIONS` para desativar o uso das seguintes funções do PostgreSQL: `version`, `query to xml`, `inet server addr` e `inet client addr`. Funções adicionais podem ser incluídas nesta lista para aumentar a proteção.