PT-2024-21816 · Apache · Apache Superset
Anastasios Stasinopoulos
·
Publicado
2024-02-28
·
Atualizado
2025-02-05
·
CVE-2024-27315
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Superset anteriores à 3.0.4
Versões do Apache Superset 3.1.0 a 3.1.1
Descrição
Um usuário autenticado com privilégios para criar alertas em Alerts & Reports pode gerar uma instrução SQL especialmente criada para provocar um erro no banco de dados. Esse erro não é tratado adequadamente pelo Apache Superset e pode aparecer inadvertidamente no log de erros do Alerta, expondo dados possivelmente confidenciais.
Recomendações
Para versões do Apache Superset anteriores à 3.0.4, atualize para a versão 3.0.4, que corrige o problema.
Para versões do Apache Superset de 3.1.0 a 3.1.1, atualize para a versão 3.1.1, que corrige o problema.
Correção
Generation of Error Message Containing Sensitive Information
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Superset