Неправильная нейтрализация специальных элементов, используемых в SQL-команде («SQL-инъекция»), в Apache Superset позволяет аутентифицированному пользователю с доступом на чтение выполнять SQL-инъекцию на основе ошибок через параметры sqlExpression илиwhere.
Эта проблема затрагивает Apache Superset: до версии 6.0.0.
Пользователям рекомендуется выполнить обновление до версии 6.0.0, которая устраняет проблему.
Показать оригинальное описание (EN)
Improper Neutralization of Special Elements used in a SQL Command ('SQL Injection') vulnerability in Apache Superset allows an authenticated user with read access to conduct error-based SQL injection via the sqlExpression or where parameters. This issue affects Apache Superset: before 6.0.0. Users are recommended to upgrade to version 6.0.0, which fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
Затронутые конфигурации ПО 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Apache Superset
cpe:2.3:a:apache:superset:*:*:*:*:*:*:*:*
|
— |
6.0.0
|