漏洞信息
# Apache Superset:元数据数据库写访问可能导致远程代码执行
## 漏洞概述
如果攻击者获得了对 Apache Superset 元数据数据库的写入访问权限,他们可以通过持久化特定构造的 Python 对象来导致远程代码执行(RCE)在 Superset 的 Web 后端。
## 影响版本
- 影响版本:1.5.0 至 2.1.0
- 推荐升级版本:2.1.1 及以上
## 漏洞细节
Superset 的元数据数据库是一个“内部”组件,通常只有系统管理员和 Superset 进程本身可以直接访问。获取该数据库的访问权限应较为困难,并需要较高的权限。
## 影响
攻击者通过获取对 Superset 元数据数据库的写访问权限,可以通过注入特定的 Python 对象导致远程代码执行。根据漏洞的严重性和权限要求,此类攻击的实施较为复杂。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Superset: Metadata db write access can lead to remote code execution
漏洞描述信息
If an attacker gains write access to the Apache Superset metadata database, they could persist a specifically crafted Python object that may lead to remote code execution on Superset's web backend.
The Superset metadata db is an 'internal' component that is typically
only accessible directly by the system administrator and the superset
process itself. Gaining access to that database should
be difficult and require significant privileges.
This vulnerability impacts Apache Superset versions 1.5.0 up to and including 2.1.0. Users are recommended to upgrade to version 2.1.1 or later.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
漏洞类别
可信数据的反序列化
漏洞标题
Apache Superset 代码问题漏洞
漏洞描述信息
Apache Superset是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。 Apache Superset 2.1.0 版本及之前版本存在代码问题漏洞,该漏洞源于如果具有对 Apache Superset 元数据数据库的写访问权限,他们就可以保留一个特制的 Python 对象,这可能会导致在 Superset 的 Web 后端上远程执行代码。
CVSS信息
N/A
漏洞类别
代码问题