В Apache Superset существует уязвимость неправильной проверки ввода, которая позволяет аутентифицированному пользователю с доступом к SQLLab обойти проверку проверки только для чтения при использовании подключения к базе данных PostgreSQL. Хотя система эффективно блокирует стандартные инструкции языка манипулирования данными (DML) (например, INSERT, UPDATE, DELETE) в соединениях только для чтения, она не может обнаружить их в специально созданных инструкциях SQL. Эта проблема затрагивает Apache Superset: до версии 6.0.0.
Пользователям рекомендуется выполнить обновление до версии 6.0.0, которая устраняет проблему.
Показать оригинальное описание (EN)
An Improper Input Validation vulnerability exists in Apache Superset that allows an authenticated user with SQLLab access to bypass the read-only verification check when using a PostgreSQL database connection. While the system effectively blocks standard Data Manipulation Language (DML) statements (e.g., INSERT, UPDATE, DELETE) on read-only connections, it fails to detect them in specially crafted SQL statements. This issue affects Apache Superset: before 6.0.0. Users are recommended to upgrade to version 6.0.0, which fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0