Apache Superset 未授权访问漏洞(CVE-2023-27524)

简介: Apache Superset 存在未授权访问漏洞,攻击者可利用该漏洞验证和访问未经授权的资源。

声明


本篇文章仅用于漏洞复现技术研究,请勿利用文章内的相关技术从事非法测试,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!



一、Apache Superset 简介


Apache Superset 是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。

Apache Superset 2.0.1 版本及之前版本存在安全漏洞,攻击者可利用该漏洞验证和访问未经授权的资源。

CVE 编号:CVE-2023-27524 CNNVD 编号:CNNVD-202304-1915


二、影响范围


  • Apache Superset 2.0.1 版本及之前版本

image.png


三、漏洞复现


FOFA:"Apache Superset"


漏洞利用工具下载:https://github.com/horizon3ai/CVE-2023-27524

image.png

下载该软件:然后执行如下命令,-u 后面跟你想要检测的地址。


本地执行 pip3 install -r requirements.txt


命令:python3 CVE-2023-27524.py -u https://X.X.X.X/ --validate

执行命令后,若存在漏洞则会爆出一个cookie值

image.png

然后访问漏洞URL地址,Burp拦截数据包,替换上面的cookie值,然后放包

image.png

image.png

成功登录进去Apache Superset 管理后台 ,里面可以执行一些sql语句等操作(证明有危害即可,不要随意执行sql语句篡改数据)


四、整改建议


目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://lists.apache.org/thread/n0ftx60sllf527j7g11kmt24wvof8xyk

目录
相关文章
|
4月前
|
Ubuntu Linux 测试技术
在Linux中,已知 apache 服务的访问日志按天记录在服务器本地目录/app/logs 下,由于磁盘空间紧张现在要求只能保留最近7天的访问日志,请问如何解决?
在Linux中,已知 apache 服务的访问日志按天记录在服务器本地目录/app/logs 下,由于磁盘空间紧张现在要求只能保留最近7天的访问日志,请问如何解决?
|
4月前
|
存储 Ubuntu Linux
如何在 Ubuntu 12.04 上使用 Apache 配置 WebDAV 访问
如何在 Ubuntu 12.04 上使用 Apache 配置 WebDAV 访问
95 0
|
6月前
|
Apache
apache指定ip可访问,并输出指定错误
apache指定ip可访问,并输出指定错误
24 1
|
6月前
|
SQL 分布式计算 Apache
|
7月前
|
安全 Linux 网络安全
Linux _ apache服务器部署 不同域名—访问不同网站(多网站)
Linux _ apache服务器部署 不同域名—访问不同网站(多网站)
168 1
|
7月前
|
网络安全 API Apache
如何在win系统部署Apache服务并实现无公网ip远程访问
如何在win系统部署Apache服务并实现无公网ip远程访问
|
7月前
|
网络安全 API Apache
本地快速部署Apache服务器并使用内网穿透实现远程访问
本地快速部署Apache服务器并使用内网穿透实现远程访问
158 2
|
7月前
|
Apache
web服务器(Apache)访问日志(access_log)详细解释
web服务器(Apache)访问日志(access_log)详细解释
|
2月前
|
SQL Java API
Apache Flink 2.0-preview released
Apache Flink 社区正积极筹备 Flink 2.0 的发布,这是自 Flink 1.0 发布以来的首个重大更新。Flink 2.0 将引入多项激动人心的功能和改进,包括存算分离状态管理、物化表、批作业自适应执行等,同时也包含了一些不兼容的变更。目前提供的预览版旨在让用户提前尝试新功能并收集反馈,但不建议在生产环境中使用。
731 13
Apache Flink 2.0-preview released
|
2月前
|
存储 缓存 算法
分布式锁服务深度解析:以Apache Flink的Checkpointing机制为例
【10月更文挑战第7天】在分布式系统中,多个进程或节点可能需要同时访问和操作共享资源。为了确保数据的一致性和系统的稳定性,我们需要一种机制来协调这些进程或节点的访问,避免并发冲突和竞态条件。分布式锁服务正是为此而生的一种解决方案。它通过在网络环境中实现锁机制,确保同一时间只有一个进程或节点能够访问和操作共享资源。
82 3

推荐镜像

更多