PT-2025-33272 · Apache · Apache Superset

Daniel Gaspar

+1

·

Publicado

2025-08-13

·

Atualizado

2025-08-18

·

CVE-2025-55673

CVSS v4.0

5.3

Média

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas: Versões do Apache Superset anteriores à 4.1.3
Descrição: Um usuário convidado que acessa um gráfico no Apache Superset recebe uma resposta da API do endpoint /chart/data que inclui um campo query. Este campo expõe indevidamente informações do esquema do banco de dados, como nomes de tabelas, ao usuário convidado de baixo privilégio.
Recomendações: Atualize para a versão 4.1.3.

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200

Identificadores relacionados

BDU:2025-10092
BIT-SUPERSET-2025-55673
CVE-2025-55673
GHSA-9G5X-MM39-WG9R

Produtos afetados

Apache Superset