PT-2026-21678 · Apache · Apache Superset

Daniel Gaspar

Publicado

2026-02-24

Atualizado

2026-03-02

CVE-2026-23969

CVSS v3.1

6.5

Média

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Name of the Vulnerable Software and Affected Versions Apache Superset versions prior to 4.1.2

Description Apache Superset uses a configurable dictionary, DISALLOWED SQL FUNCTIONS, to limit the execution of potentially sensitive SQL functions in SQL Lab and charts. A flaw exists because the default list for the ClickHouse engine was not comprehensive, allowing potentially harmful SQL functions to be executed.

Recommendations Upgrade to version 4.1.2 to resolve the issue.

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

BIT-SUPERSET-2026-23969

CVE-2026-23969

GHSA-48M2-V2R8-H23M

Produtos afetados

Apache Superset

PT-2026-21678 · Apache · Apache Superset

CVE-2026-23969

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 11