Vulnerabilidades de acceso no autorizado y cross-site scripting (XSS) en Apache Superset

Se ha reportado un nuevo aviso de seguridad sobre siete vulnerabilidades que afectan a Apache Superset, que permitirían a un atacante autenticado realizar consultas personalizadas a la base de datos, ataques del tipo cross-site scripting (XSS), entre otros.

Las vulnerabilidades reportadas se componen de 1 (uno) de severidad “Crítica”, 2 (dos) de severidad “Media” y 4 (cuatro) de severidad “Baja”. Las principales se detallan a continuación:

CVE-2022-41703, de severidad “crítica” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el conector SQL Alchemy de Apache Superset. Esto permitiría a un atacante autenticado con acceso de lectura a una base de datos específica y con el indicador de característica «ALLOW_ADHOC_SUBQUERY» deshabilitado, ejecutar subconsultas no autorizadas en los campos WHERE y HAVING que hacen referencia a tablas de la misma base de datos.

CVE-2022-43719, de severidad “media” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una incorrecta validación de datos de entrada en el componente Legacy REST API Endpoint. Esto permitiría a un atacante realizar ataques de cross-site request forgery (CSRF) en el sistema afectado.

CVE-2022-43721, de severidad “media” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el redireccionamiento de sitios que afecta al componente Dataset Link Handler. Esto permitiría a un atacante autenticado cambiar el enlace de datos (dataset) a un sitio no confiable y redirigir a los usuarios al mismo.

Para visualizar la lista completa de las vulnerabilidades puede ingresar al siguiente enlace.

Las versiones afectadas son:

Apache Superset versión 1.5.2 y versiones anteriores.
Apache Superset versión 2.0.0.

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante los siguientes enlaces:

Referencias: