0x00 漏洞编号

• CVE-2023-49736

0x01 危险等级

• 中危
  

0x02 漏洞概述

Apache Superset是一个现代的、企业级的数据可视化和数据探索的网络应用程序。它可以连接多种数据源，提供各种图表选项，让不同技能水平的用户都能轻松地分析和呈现数据。

0x03 漏洞详情

CVE-2023-49736

漏洞类型：SQL注入

影响：获取敏感信息

简述：Apache Superset在2.1.2和3.0.2版本之前存在SQL注入漏洞，其存在的where_in JINJA宏允许用户指定一个引号，利用该引号与特制的语句相结合可以进行SQL注入，导致数据库敏感信息泄露。

0x04 影响版本

• Apache Superset < 2.1.2

• 3.0.0 <= Apache Superset < 3.0.2

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://superset.apache.org/

原文始发于微信公众号（浅安安全）：漏洞预警 | Apache Superset SQL注入漏洞