Superset
Уязвимости
87
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.97405
Распределение по критичности
Критический
8
Высокий
11
Средний
65
Низкий
3
Затронутые диапазоны версий
1.3.0–2.0.11.5.0–2.1.02.0.0–4.1.0< 0.23< 0.31< 0.32< 0.37.1< 0.37.2< 1.3.2< 1.4.2< 2.1.1< 2.1.2< 2.1.3< 3.0.0< 3.0.3< 3.0.4< 3.1.3< 4.0.0< 4.0.2< 4.1.0< 4.1.2< 4.1.3< 5.0.0< 6.0.0
Также сопоставлено как (исходные строки): superset
Топ уязвимостей
CVE-2024-39887Уязвимость SQL-инъекции в Apache Superset существует из-за некорректной нейтрализации специальных элементов, используемых в SQL-командах. В частности, некоторые функции, специфичные для конкретных движков, не проверяются, что позволяет злоумышленникам обходить авторизацию SQL Apache Superset. Для смягчения этого был введен новый ключ конфигурации с именем DISALLOWED_SQL_FUNCTIONS. Этот ключ запрещает использование следующих функций PostgreSQL: version, query_to_xml, inet_server_addr и inet_client_addr. Дополнительные функции могут быть добавлены в этот список для повышения защиты.
Эта проблема затрагивает Apache Superset: до 4.0.2.
Пользователям рекомендуется обновиться до версии 4.0.2, которая исправляет эту проблему.
CVE-2023-27524Атаки с проверкой сеанса в Apache Superset версий до 2.0.1 включительно. Установки, в которых не был изменен сконфигурированный по умолчанию SECRET_KEY в соответствии с инструкциями по установке, позволяют злоумышленнику проходить аутентификацию и получать доступ к неавторизованным ресурсам. Это не влияет на администраторов Superset, которые изменили значение по умолчанию для конфигурации SECRET_KEY.
Во всех установках Superset всегда следует устанавливать уникальный безопасный случайный SECRET_KEY. Ваш SECRET_KEY используется для безопасной подписи всех файлов cookie сеанса и шифрования конфиденциальной информации в базе данных.
Добавьте надежный SECRET_KEY в файл `superset_config.py` следующим образом:
SECRET_KEY = <YOUR_OWN_RANDOM_GENERATED_SECRET_KEY>
Кроме того, вы можете установить его с помощью переменной среды `SUPERSET_SECRET_KEY`.
CVE-2022-27479Apache Superset до версии 1.4.2 уязвим для SQL-инъекций в запросах данных диаграммы. Пользователям следует обновиться до версии 1.4.2 или выше, в которой устранена эта проблема.
CVE-2018-8021В версиях Superset до 0.23 использовался небезопасный метод загрузки из библиотеки pickle для десериализации данных, что приводило к возможному удаленному выполнению кода. Обратите внимание, что Superset 0.23 был выпущен до любого выпуска Superset под управлением Apache Software Foundation.
BDU:2023-05589Уязвимость программного обеспечения визуализации данных Apache Superset связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2023-02828Уязвимость программного обеспечения визуализации данных Apache Superset связана с небезопасной инициализацией ресурса. Эксплуатация уязвимости может позволить нарушителю , действующему удаленно, обойти установленный контроль доступа, если SECRET_KEY установлен по умолчанию
BDU:2022-02767Уязвимость программного обеспечения визуализации данных Apache Superset связана с отсутствием проверки достоверности последовательностей XML-объетов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить атаки основанные на SQL-инъекии
BDU:2024-01007Уязвимость программного обеспечения визуализации данных Apache Superset связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки
CVE-2023-49736Макрос where_in JINJA позволяет пользователям указывать кавычку, которая в сочетании с тщательно подготовленным выражением может позволить SQL-инъекцию в Apache Superset. Эта проблема затрагивает Apache Superset: до 2.1.2, с 3.0.0 до 3.0.2.
Пользователям рекомендуется обновиться до версии 3.0.2, которая исправляет проблему.
CVE-2023-40610Неправильная проверка авторизации и возможная эскалация привилегий в Apache Superset до, но не включая 2.1.2. Используя соединение к базе данных примеров по умолчанию, которое позволяет доступ как к схеме примеров, так и к метаданным базы данных Apache Superset, злоумышленник, используя специально подготовленное SQL-запрос CTE, мог бы изменить данные в метаданных базы данных. Эта уязвимость может привести к подделке данных аутентификации/авторизации.
CVE-2022-43719Две устаревшие конечные точки REST API для утверждения и запроса доступа уязвимы для подделки межсайтовых запросов. Эта проблема затрагивает Apache Superset версии 1.5.2 и более ранних версий, а также версии 2.0.0.
CVE-2021-41971Apache Superset до версии 1.3.0 включительно, если настроен с ENABLE_TEMPLATE_PROCESSING on (отключено по умолчанию), допускал SQL-инъекцию, когда вредоносный аутентифицированный пользователь отправлял HTTP-запрос с пользовательским URL-адресом.
CVE-2020-13948При исследовании сообщения об ошибке в Apache Superset было установлено, что аутентифицированный пользователь может создавать запросы через ряд полей текста шаблона в продукте, которые позволят произвольный доступ к пакету `os` Python в процессе веб-приложения в версиях < 0.37.1. Таким образом, аутентифицированный пользователь мог перечислять и получать доступ к файлам, переменным среды и информации о процессе. Кроме того, можно было устанавливать переменные среды для текущего процесса, создавать и обновлять файлы в папках, доступных для записи веб-процессом, и выполнять произвольные программы, доступные веб-процессу. Все другие операции, доступные для пакета `os` в Python, также были доступны, даже если они явно не перечислены в этом CVE.
CVE-2020-13952В ходе работы над проектом с открытым исходным кодом было обнаружено, что аутентифицированные пользователи, выполняющие запросы к механизмам баз данных Hive и Presto, могут получить доступ к информации через ряд полей шаблона, включая содержимое базы данных метаданных описания запроса, хешированную версию пароля аутентифицированных пользователей и доступ к информации о соединении, включая пароль открытым текстом для текущего соединения. Также можно было запускать произвольные методы для объекта соединения с базой данных для соединения Presto или Hive, что позволяло пользователю обходить элементы управления безопасностью внутри Superset. Эта уязвимость присутствует в каждой версии Apache Superset < 0.37.2.
CVE-2024-53949Уязвимость неправильной авторизации в Apache Superset при включенном FAB_ADD_SECURITY_API (по умолчанию отключено). Позволяет пользователям с низкими привилегиями использовать этот API. Проблема затрагивает Apache Superset: с 2.0.0 до 4.1.0. Пользователям рекомендуется обновиться до версии 4.1.0, которая исправляет проблему.
CVE-2026-23984В Apache Superset существует уязвимость неправильная валидация, которая позволяет аутентифицированному пользователю с SQLLab получить доступ к проверке только для чтения при использовании подключения к базе данных PostgreSQL.
В то время как система эффективно блокирует стандартные утверждения языка манипулирования данными (DML) (например, INSERT, UPDATE, DELETE) на соединениях только для чтения, она не может обнаружить их в специально созданных SQL-указаниях.
Этот вопрос затрагивает Apache Superset: до 6.0.0.
Пользователям рекомендуется обновиться до версии 6.0.0, которая устраняет проблему.
CVE-2026-23982Уязвимость неправильная авторизация существует в Apache Superset, которая позволяет низкопривилегированному пользователю обходить элементы управления доступом к данным. При создании набора данных Superset применяет проверки разрешений, чтобы пользователи не задавали несанкционированные данные. Однако аутентифицированный злоумышленник с разрешениями на запись наборов данных и диаграмм считывания может обойти эти проверки, перезаписав запрос SQL существующего набора данных.
Этот вопрос затрагивает Apache Superset: до 6.0.0.
Пользователям рекомендуется обновиться до версии 6.0.0, которая устраняет проблему.
CVE-2025-48912Аутентифицированный злоумышленник, используя специально подготовленные запросы, мог обойти конфигурацию безопасности на уровне строк, внедряя SQL в поля 'sqlExpression'. Это позволило выполнить подзапросы, чтобы обойти средства защиты от анализа и в конечном итоге получить несанкционированный доступ к данным.
Эта проблема затрагивает Apache Superset: до версии 4.1.2.
Пользователям рекомендуется обновиться до версии 4.1.2, в которой эта проблема исправлена.
Источники:
- [1] https://lists.apache.org/thread/ms2t2oq218hb7l628trsogo4fj7h1135
CVE-2024-55633Уязвимость неправильной авторизации в Apache Superset. В аналитических базах данных Postgres злоумышленник с доступом к SQLLab может создать специально разработанный SQL DML-запрос, который неверно идентифицируется как запрос только для чтения, что позволяет его выполнение. Соединения с аналитическими базами данных, отличными от postgres, и соединения с аналитическими базами данных postgres, настроенные с пользователем только для чтения (рекомендуется), не подвержены атаке. Эта проблема затрагивает Apache Superset: до 4.1.0. Пользователям рекомендуется обновиться до версии 4.1.0, которая исправляет проблему.
BDU:2024-04817Уязвимость программного обеспечения визуализации данных Apache Superset связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольную SQL-команду и раскрыть защищаемую информацию
CVE-2023-37941Если злоумышленник получает доступ на запись к метаданным базы данных Apache Superset, он может сохранить специально скомпонованный объект Python, который может привести к удаленному выполнению кода на веб-бэкенде Superset.
Метаданные базы данных Superset – это 'внутренний' компонент, который обычно
доступен напрямую только системному администратору и процессу superset.
Доступ к этой базе данных должен быть
сложным и требовать значительных привилегий.
Эта уязвимость затрагивает версии Apache Superset от 1.5.0 до и включая 2.1.0. Пользователям рекомендуется обновиться до версии 2.1.1 или более поздней.
CVE-2024-24779Apache Superset с настраиваемыми ролями, которые включают ‘может писать в набор данных’ и без всех разрешений на доступ к данным, позволяет пользователям создавать виртуальные наборы данных для данных, к которым у них нет доступа. Эти пользователи затем могут использовать эти виртуальные наборы данных для получения несанкционированного доступа к данным. Эта проблема затрагивает Apache Superset: до 3.0.4, от 3.1.0 до 3.1.1. Пользователям рекомендуется обновиться до версии 3.1.1 или 3.0.4, которые исправляют эту проблему.
CVE-2024-24773Неправильный разбор вложенных SQL-запросов в SQLLab позволит аутентифицированным пользователям превысить объем своей авторизации данных. Эта проблема затрагивает Apache Superset: до 3.0.4, с 3.1.0 до 3.1.1. Пользователям рекомендуется обновиться до версии 3.1.1, которая исправляет проблему.
CVE-2024-23952Это дубликат для CVE-2023-46104. С правильными диапазонами версий CVE для затронутого Apache Superset.
Неконтролируемое потребление ресурсов может быть вызвано аутентифицированным злоумышленником, который загружает злонамеренный ZIP для импорта базы данных, панелей мониторинга или наборов данных. Эта уязвимость существует в версиях Apache Superset до и включая 2.1.2 и версиях 3.0.0, 3.0.1.
CVE-2023-49734Аутентифицированный пользователь Gamma имеет возможность создать информационную панель и добавить в нее диаграммы, этот пользователь автоматически станет одним из владельцев диаграмм, что позволит ему неправомерно получить права записи к этим диаграммам. Эта проблема затрагивает Apache Superset: до 2.1.2, начиная с 3.0.0 и до 3.0.2.
Пользователям рекомендуется обновиться до версии 3.0.2 или 2.1.3, которые исправляют проблему.