Apache Superset中的CVE-2024-53949安全漏洞

Apache Superset是一个开源的现代数据探索和可视化平台，快速且轻量，提供直观的用户界面，使得创建、分享和可视化数据变得简单。

Apache Superset是企业级商业智能Web应用程序，所有的用户都可以轻松探索和可视化数据，从简单的饼图到高度详细的地理空间图表。

一、基本情况

Apache Superset 是开源数据可视化工具，支持丰富的数据源连接，可自助分析、自定义仪表盘、分析结果可视化、用户/角色权限控制。

Superset 是一个开源项目，拥有活跃的社区支持，拥有大量文档、教程和社区贡献的插件或扩展，帮助用户更好地使用和定制 Superset。

栋科技漏洞库关注到Apache Superset启用FAB_ADD_SECURITY_API（默认禁用）时存在不当授权漏洞，漏洞追踪为CVE-2024-53949。

二、漏洞分析

CVE-2024-53949漏洞是Apache Superset在启用FAB_ADD_SECURITY_API（默认禁用）时存在不当授权漏洞，该漏洞的CVSS评分7.5。

该漏洞允许Apache Superset在启用FAB_ADD_SECURITY_API的时候，允许允许低权限用户使用此API，当然该API默认处于禁用状态。

该漏洞影响影响Apache Superset的版本从2.0.0到4.1.0之前，官方已发布针对该漏洞的版本4.1.0，建议用户升级到该版本或者更高版本。

三、影响范围

Apache Superset versions: version 2.0.0 prior to 4.1.0

四、修复建议

Apache Superset version >= 4.1.0

五、参考链接

此处内容已隐藏，评论后刷新即可查看！