Атаки с проверкой сеанса в Apache Superset версий до 2.0.1 включительно. Установки, в которых не был изменен сконфигурированный по умолчани…
Атаки с проверкой сеанса в Apache Superset версий до 2.0.1 включительно. Установки, в которых не был изменен сконфигурированный по умолчанию SECRET_KEY в соответствии с инструкциями по установке, позволяют злоумышленнику проходить аутентификацию и получать доступ к неавторизованным ресурсам. Это не влияет на администраторов Superset, которые изменили значение по умолчанию для конфигурации SECRET_KEY. Во всех установках Superset всегда следует устанавливать уникальный безопасный случайный SECRET_KEY. Ваш SECRET_KEY используется для безопасной подписи всех файлов cookie сеанса и шифрования конфиденциальной информации в базе данных. Добавьте надежный SECRET_KEY в файл `superset_config.py` следующим образом: SECRET_KEY = <YOUR_OWN_RANDOM_GENERATED_SECRET_KEY> Кроме того, вы можете установить его с помощью переменной среды `SUPERSET_SECRET_KEY`.
Продукт инициализирует или задаёт ресурс со значением по умолчанию, которое предполагается изменить установщиком, администратором или специалистом по сопровождению продукта, однако это значение по умолчанию не является безопасным.
https://cwe.mitre.org/data/definitions/1188.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/665.html →Открыть в коллекции CAPEC →