CVE-2020-13948|Apache Superset 远程代码执行漏洞风险通告

2020-09-19 22:01:33
经过身份验证的用户可以列出并访问文件、环境变量和过程信息。另外,可以为当前进程设置环境变量,在可写的文件夹中创建和更新文件,以及执行可访问的任意程序。

漏洞描述:

9月15日Apache软件基金会发布安全公告,修复了Apache Superset的远程代码执行漏洞(CVE-2020-13948)。

 

在调查有关Apache Superset的错误报告时,确认经过身份验证的用户可通过产品中的许多模板化文本字段来提出请求,从而允许在构建Web应用程序过程中访问Python的os软件包。因此,经过身份验证的用户可以列出并访问文件、环境变量和过程信息。另外,可以为当前进程设置环境变量,在可写的文件夹中创建和更新文件,以及执行可访问的任意程序。

 

Apache Superset 是Airbnb公司开源的数据分析与可视化平台,可自助分析、自定义仪表盘、分析结果可视化(导出)、用户/角色权限控制,还集成SQL编辑器,可以进行SQL编辑查询等操作。

 

漏洞等级:高危

 

漏洞编号:CVE-2020-13948

 

受影响的版本:

Apache Superset < 0.37.1

 

修复建议:

厂商已发布新版修复该漏洞,腾讯安全专家建议受影响的用户升级到Apache Superset最新版本。

 

下载链接:

https://github.com/apache/incubator-superset/releases

 

参考链接:

https://lists.apache.org/thread.html/rdeee068ac1e0c43bd5b69830240f30598df15a2ef9f7998c7b29131e%40%3Cdev.superset.apache.org%3E

 

最新资讯