Se ha reportado un nuevo aviso de seguridad sobre siete vulnerabilidades que afectan a Apache Superset, que permitirían a un atacante autenticado realizar consultas personalizadas a la base de datos, ataques del tipo cross-site scripting (XSS), entre otros.
Las vulnerabilidades reportadas se componen de 1 (uno) de severidad “Crítica”, 2 (dos) de severidad “Media” y 4 (cuatro) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2022-41703, de severidad “crítica” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el conector SQL Alchemy de Apache Superset. Esto permitiría a un atacante autenticado con acceso de lectura a una base de datos específica y con el indicador de característica «ALLOW_ADHOC_SUBQUERY» deshabilitado, ejecutar subconsultas no autorizadas en los campos WHERE y HAVING que hacen referencia a tablas de la misma base de datos.
- CVE-2022-43719, de severidad “media” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una incorrecta validación de datos de entrada en el componente Legacy REST API Endpoint. Esto permitiría a un atacante realizar ataques de cross-site request forgery (CSRF) en el sistema afectado.
- CVE-2022-43721, de severidad “media” y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el redireccionamiento de sitios que afecta al componente Dataset Link Handler. Esto permitiría a un atacante autenticado cambiar el enlace de datos (dataset) a un sitio no confiable y redirigir a los usuarios al mismo.
Para visualizar la lista completa de las vulnerabilidades puede ingresar al siguiente enlace.
Las versiones afectadas son:
- Apache Superset versión 1.5.2 y versiones anteriores.
- Apache Superset versión 2.0.0.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante los siguientes enlaces:
Referencias:
- https://securityonline.info/cve-2022-41703-apache-superset-sql-injection-vulnerability/
- https://nvd.nist.gov/vuln/detail/CVE-2022-41703
- https://nvd.nist.gov/vuln/detail/CVE-2022-43719
- https://nvd.nist.gov/vuln/detail/CVE-2022-43721
- https://lists.apache.org/thread/g7jjw0okxjk5y57pbbxy19ydw42kqcos
- https://lists.apache.org/thread/xc309h2dphrkg33154djf3nqlh2xc1c0
- https://lists.apache.org/thread/s6sqt5jmcv6qxtvdot1t5tpt57v439kg
- https://downloads.apache.org/superset/1.5.3/
- https://downloads.apache.org/superset/2.0.1/