经过身份验证的用户可以列出并访问文件、环境变量和过程信息。另外,可以为当前进程设置环境变量,在可写的文件夹中创建和更新文件,以及执行可访问的任意程序。
漏洞描述:
9月15日Apache软件基金会发布安全公告,修复了Apache Superset的远程代码执行漏洞(CVE-2020-13948)。
在调查有关Apache Superset的错误报告时,确认经过身份验证的用户可通过产品中的许多模板化文本字段来提出请求,从而允许在构建Web应用程序过程中访问Python的os软件包。因此,经过身份验证的用户可以列出并访问文件、环境变量和过程信息。另外,可以为当前进程设置环境变量,在可写的文件夹中创建和更新文件,以及执行可访问的任意程序。
Apache Superset 是Airbnb公司开源的数据分析与可视化平台,可自助分析、自定义仪表盘、分析结果可视化(导出)、用户/角色权限控制,还集成SQL编辑器,可以进行SQL编辑查询等操作。
漏洞等级:高危
漏洞编号:CVE-2020-13948
受影响的版本:
Apache Superset < 0.37.1
修复建议:
厂商已发布新版修复该漏洞,腾讯安全专家建议受影响的用户升级到Apache Superset最新版本。
【安全圈】微信、Tiktok下架倒计时,小编带你看各方的反应
【安全圈】非法获利上百万!这伙贩卖个人信息的犯罪分子,被蚌埠警方抓获!
【安全圈】商务部发布《不可靠实体清单规定》
【安全圈】苹果iOS 14惊现漏洞,重启设备会重置邮件与浏览器设置
【安全圈】德医院遭遇勒索软件攻击,导致一名无辜患者死亡
【安全圈】外交部回应美国司法部起诉5名中国公民入侵五角大楼、游戏公司
【安全圈】微软修复 Zerologon 高危漏洞:可提权为域管理员接管企业网络
【安全圈】我国网安规模预计超1700亿
【安全圈】美国起诉2名黑客,称其为报复伊朗将军遭暗杀而攻击多家网站
【安全圈】Microsoft Exchange远程代码执行漏洞通告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论