【高危】Apache Superset：对SQL语句的不正确验证允许对数据进行未经授权的访问

2024年2月29日11:48:35评论17 views字数 505阅读1分41秒阅读模式

皓月当空，明镜高悬

文末可体验bugSearch系统哦~

漏洞早知道

漏洞名称：GApache Superset：对SQL语句的不正确验证允许对数据进行未经授权的访问

漏洞出现时间：2024年2月28日

影响等级：高危

漏洞说明：

在SQLLab上对嵌套的SQL语句进行不正确的解析会使经过身份验证的用户超出其数据授权范围。此问题影响Apache Superset：3.0.4之前版本，从3.1.0之前版本3.1.1。建议用户升级到3.1.1版本，该版本修复了此问题。。

影响版本：

修复方式：

Google Chrome 121.0.6167.85版本及之前版本存在安全绕过漏洞，该漏洞是由于辅助功能中的不适当实现造成的。攻击者可利用该漏洞绕过安全限制。

相关链接：

原文始发于微信公众号（皓月当空w）：【高危】Apache Superset：对SQL语句的不正确验证允许对数据进行未经授权的访问

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

本文由 admin 发表于 2024年2月29日11:48:35
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
【高危】Apache Superset：对SQL语句的不正确验证允许对数据进行未经授权的访问https://cn-sec.com/archives/2536469.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

漏洞复现 || XWiki Platform系统远程代码执行 POC