В Apache Superset существует уязвимость неправильной авторизации, которая позволяет пользователю с низким уровнем привилегий обойти контроль доступа к данным. При создании набора данных Superset обеспечивает проверку разрешений, чтобы пользователи не могли запрашивать неавторизованные данные. Однако злоумышленник, прошедший проверку подлинности и имеющий разрешения на запись наборов данных и чтение диаграмм, может обойти эти проверки, перезаписав SQL-запрос существующего набора данных.
Эта проблема затрагивает Apache Superset: до версии 6.0.0. Пользователям рекомендуется выполнить обновление до версии 6.0.0, которая устраняет проблему.
Показать оригинальное описание (EN)
An Improper Authorization vulnerability exists in Apache Superset that allows a low-privileged user to bypass data access controls. When creating a dataset, Superset enforces permission checks to prevent users from querying unauthorized data. However, an authenticated attacker with permissions to write datasets and read charts can bypass these checks by overwriting the SQL query of an existing dataset. This issue affects Apache Superset: before 6.0.0. Users are recommended to upgrade to version 6.0.0, which fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
Затронутые конфигурации ПО 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Apache Superset
cpe:2.3:a:apache:superset:*:*:*:*:*:*:*:*
|
— |
6.0.0
|