2023年12月26日,网上公开披露了一个标注为授权检查错误的Apache Superset 授权检查错误漏洞(CVE-2023-49734),Apache Superset 是一个数据可视化和数据探索平台。请各位用户尽快安装漏洞补丁。
漏洞风险:由于update_charts_owners方法的逻辑错误,拥有 Gamma 权限的用户可以创建仪表盘并将其移动到图表中,尽管用户可能只有编辑或查看仪表板权限,但由于代码错误,可以获得图表的管理权限。
风险等级:高风险。
影响范围: apache-superset@[3.0.0, 3.0.2)
apache-superset@(-∞, 2.1.3)
修复建议:将组件 apache-superset 升级至 3.0.2 及以上版本
将组件 apache-superset 升级至 2.1.3 及以上版本
进行安全更新方法:
https://github.com/apache/superset/commit/5198279a2ba41ab3e89bd9d7750694179d3f9fe6
