PT-2024-9969 · Apache · Apache Superset
Daniel Gaspar
+2
·
Publicado
2024-12-09
·
Atualizado
2025-04-14
·
CVE-2024-53947
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Versões do Apache Superset anteriores à 4.1.0
Descrição:
O problema está relacionado a uma vulnerabilidade de injeção de SQL devido à neutralização inadequada de elementos especiais usados em comandos SQL. Especificamente, certas funções específicas do mecanismo não são verificadas, permitindo que invasores contornem a autorização SQL. As funções afetadas incluem
query to xml and xmlschema, table to xml e table to xml and xmlschema. Essa vulnerabilidade pode permitir que um invasor remoto execute código SQL arbitrário.Recomendações:
Para versões anteriores à 4.1.0, atualize para a versão 4.1.0 para corrigir o problema.
Como alternativa, adicione as funções Postgres
query to xml and xmlschema, table to xml e table to xml and xmlschema ao conjunto de configuração DISALLOWED SQL FUNCTIONS como uma solução temporária.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Superset