【安全圈】CVE-2020-13948|Apache Superset 远程代码执行漏洞风险通告

admin 2020年9月20日15:18:46评论362 views字数 842阅读2分48秒阅读模式

【安全圈】CVE-2020-13948|Apache Superset 远程代码执行漏洞风险通告

经过身份验证的用户可以列出并访问文件、环境变量和过程信息。另外,可以为当前进程设置环境变量,在可写的文件夹中创建和更新文件,以及执行可访问的任意程序。

漏洞描述:

9月15日Apache软件基金会发布安全公告,修复了Apache Superset的远程代码执行漏洞(CVE-2020-13948)。

在调查有关Apache Superset的错误报告时,确认经过身份验证的用户可通过产品中的许多模板化文本字段来提出请求,从而允许在构建Web应用程序过程中访问Python的os软件包。因此,经过身份验证的用户可以列出并访问文件、环境变量和过程信息。另外,可以为当前进程设置环境变量,在可写的文件夹中创建和更新文件,以及执行可访问的任意程序。

Apache Superset 是Airbnb公司开源的数据分析与可视化平台,可自助分析、自定义仪表盘、分析结果可视化(导出)、用户/角色权限控制,还集成SQL编辑器,可以进行SQL编辑查询等操作。

【安全圈】CVE-2020-13948|Apache Superset 远程代码执行漏洞风险通告

漏洞等级:高危

漏洞编号:CVE-2020-13948

受影响的版本:

Apache Superset < 0.37.1

修复建议:

厂商已发布新版修复该漏洞,腾讯安全专家建议受影响的用户升级到Apache Superset最新版本。

猜你喜欢  

【安全圈】微信、Tiktok下架倒计时,小编带你看各方的反应

【安全圈】非法获利上百万!这伙贩卖个人信息的犯罪分子,被蚌埠警方抓获!

【安全圈】商务部发布《不可靠实体清单规定》

【安全圈】苹果iOS 14惊现漏洞,重启设备会重置邮件与浏览器设置

【安全圈】德医院遭遇勒索软件攻击,导致一名无辜患者死亡

【安全圈】外交部回应美国司法部起诉5名中国公民入侵五角大楼、游戏公司

【安全圈】微软修复 Zerologon 高危漏洞:可提权为域管理员接管企业网络

【安全圈】我国网安规模预计超1700亿

【安全圈】美国起诉2名黑客,称其为报复伊朗将军遭暗杀而攻击多家网站

【安全圈】Microsoft Exchange远程代码执行漏洞通告

【安全圈】CVE-2020-13948|Apache Superset 远程代码执行漏洞风险通告

【安全圈】CVE-2020-13948|Apache Superset 远程代码执行漏洞风险通告
你点的每个赞,我都认真当成了喜欢

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年9月20日15:18:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全圈】CVE-2020-13948|Apache Superset 远程代码执行漏洞风险通告https://cn-sec.com/archives/138471.html

发表评论

匿名网友 填写信息