PT-2024-9601 · Apache · Apache Superset
Daniel Gaspar
+1
·
Publicado
2024-12-12
·
Atualizado
2025-02-12
·
CVE-2024-55633
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Superset anteriores à 4.1.0
Descrição
O problema está relacionado a uma falha de autorização no Apache Superset, afetando especificamente bancos de dados analíticos Postgres. Um invasor com acesso ao SQLLab pode criar uma instrução SQL DML especialmente projetada que seja incorretamente identificada como uma consulta somente leitura, permitindo sua execução e possibilitando, potencialmente, o acesso de gravação não autorizado. Conexões a bancos de dados analíticos que não sejam Postgres e conexões a bancos de dados analíticos Postgres configuradas com um usuário somente leitura não estão vulneráveis.
Recomendações
Para resolver o problema, recomenda-se que os usuários atualizem para a versão 4.1.0, que corrige a falha. Como solução alternativa temporária, considere restringir o acesso ao SQLLab ou configurar conexões a bancos de dados analíticos Postgres com um usuário somente leitura para minimizar o risco de exploração.
Correção
Incorrect Authorization
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Superset