【漏洞预警】Apache Superset 默认示例数据库权限提升漏洞CVE-2023-40610

漏洞描述：

Apache Superset 是一个开源的数据可视化和业务智能平台，可用于数据探索分析和数据可视化。
受影响版本中，默认情况下示例数据库表是在 Superset 的元数据数据库上创建，导致用户可以通过 SQLLab 访问 Superset 的元数据数据库。有普通权限的攻击者可以构造恶意的 CTE SQL 语句修改 Superset 元数据数据库的中数据，提升攻击者权限等。如：WITH evil AS (UPDATE users SET role = 'admin' WHERE username = 'your_username')SELECT * FROM evil;

影响范围：
apache-superset(-∞, 2.1.2)

修复方案：
将组件 apache-superset 升级至 2.1.2 及以上版本

参考链接：
https://github.com/apache/superset/pull/25003

https://github.com/apache/superset/pull/25003/commits/c7a3bc780526c7164df6a9b558bbe29399750319

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Apache Superset 默认示例数据库权限提升漏洞CVE-2023-40610