CVE-2021-41192

Versões 10.0.0 e anteriores do Redash

O Redash é um pacote para visualização e compartilhamento de dados. Se um administrador configurar o Redash sem especificar explicitamente as variáveis de ambiente REDASH COOKIE SECRET ou REDASH SECRET KEY, um valor padrão será usado para ambas, o qual é o mesmo em todas as instalações. Nesses casos, a instância fica vulnerável a invasores capazes de falsificar sessões usando o valor padrão conhecido. Este problema afeta apenas instalações nas quais as variáveis de ambiente REDASH COOKIE SECRET ou REDASH SECRET KEY não foram explicitamente definidas. Usuários das imagens oficiais do Redash na nuvem, dos droplets do Redash no Digital Ocean Marketplace ou dos scripts no repositório getredash/setup não são afetados, pois essas instâncias geram automaticamente chaves secretas únicas durante a instalação. É possível verificar se a instância está afetada verificando o valor da variável de ambiente REDASH COOKIE SECRET. Se for c292a0a3aa32397cdb050e233733900f, siga as etapas para proteger a instância.

Para proteger a instância, siga as etapas descritas no Alerta de Segurança do GitHub se a variável de ambiente REDASH COOKIE SECRET for c292a0a3aa32397cdb050e233733900f. Como solução temporária, considere regenerar as variáveis de ambiente REDASH COOKIE SECRET e REDASH SECRET KEY com valores únicos para evitar a falsificação de sessão. Restrinja o acesso à instância do Redash até que t