PT-2024-20550 · Apache · Apache Superset

Linden Haynes

·

Publicado

2024-02-28

·

Atualizado

2025-02-12

·

CVE-2024-24772

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Apache Superset anteriores à 3.0.4
Versões do Apache Superset da 3.1.0 à 3.1.0
Descrição
Um usuário convidado poderia explorar uma API REST de dados de gráficos e enviar instruções SQL arbitrárias que, em caso de erro, poderiam vazar informações do banco de dados de análise subjacente.
Recomendações
Para versões do Apache Superset anteriores à 3.0.4, atualize para a versão 3.0.4.
Para versões do Apache Superset 3.1.0, atualize para a versão 3.1.1.

Correção

SQL injection

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89CWE-20

Identificadores relacionados

BIT-SUPERSET-2024-24772
CVE-2024-24772
GHSA-M6JM-3V38-76J4

Produtos afetados

Apache Superset