一、基本情況

Apache Superset是一個(gè)開(kāi)源的數(shù)據(jù)探索和可視化平臺(tái)，提供了快速創(chuàng)建數(shù)據(jù)可視化互動(dòng)儀表盤(pán)、豐富的可視化圖表模板、細(xì)粒度高可擴(kuò)展性的安全訪(fǎng)問(wèn)模型等強(qiáng)大功能，可以輕松對(duì)數(shù)據(jù)進(jìn)行可視化分析。

二、漏洞描述

4月25日，Apache官方發(fā)布安全公告，修復(fù)了Apache Superset中的一個(gè)身份驗(yàn)證繞過(guò)漏洞（CVE-2023-27524），其CVSSv3評(píng)分為8.9，目前該漏洞的細(xì)節(jié)及PoC/EXP已經(jīng)公開(kāi)披露。

Apache Superset 版本<= 2.0.1中，當(dāng)未根據(jù)安裝說(shuō)明更改默認(rèn)配置的 SECRET_KEY時(shí)，Apache Superset 使用默認(rèn)的Flask SECRET_KEY 密鑰來(lái)簽署身份驗(yàn)證會(huì)話(huà)cookie，威脅者可以使用該默認(rèn)密鑰偽造會(huì)話(huà)cookie，并以管理員權(quán)限登錄到未更改密鑰的服務(wù)器，導(dǎo)致身份驗(yàn)證繞過(guò)和遠(yuǎn)程代碼執(zhí)行。

三、影響范圍

Apache Superset 版本：<= 2.0.1

四、修復(fù)建議

目前該漏洞已經(jīng)修復(fù)，受影響用戶(hù)可升級(jí)到以下版本：

Apache Superset 版本：>= 2.1.0

下載鏈接：

https://github.com/apache/superset/tags

注：

1.如果Superset 管理員更改了SECRET_KEY 配置默認(rèn)值，則Superset安裝不易受到攻擊。

2.Apache Superset 版本 2.1.0中，如果使用默認(rèn)的“SECRET_KEY”運(yùn)行，則不允許服務(wù)器啟動(dòng)。

臨時(shí)措施

無(wú)法升級(jí)到修復(fù)版本的受影響用戶(hù)可以選擇更改SECRET_KEY 配置默認(rèn)值，可參考：

https://superset.apache.org/docs/installation/configuring-superset/#secret_key-rotation

五、參考鏈接

https://lists.apache.org/thread/n0ftx60sllf527j7g11kmt24wvof8xyk

https://www.horizon3.ai/cve-2023-27524-insecure-default-configuration-in-apache-superset-leads-to-remote-code-execution/

https://www.bleepingcomputer.com/news/security/thousands-of-apache-superset-servers-exposed-to-rce-attacks/