BDU:2023-05589

Опубликовано: 11 июл. 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Высокий

Описание

Уязвимость программного обеспечения визуализации данных Apache Superset связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Apache Software Foundation

Наименование ПО

Superset

Версия ПО

от 1.5.0 до 2.1.0 включительно (Superset)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://lists.apache.org/thread/6qk1zscc06yogxxfgz2bh2bvz6vh9g7h

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://lists.apache.org/thread/6qk1zscc06yogxxfgz2bh2bvz6vh9g7h

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-37941
CVE

EPSS

Процентиль: 99%

0.83972

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-37941

CVSS3: 6.6

nvd

больше 2 лет назад

If an attacker gains write access to the Apache Superset metadata database, they could persist a specifically crafted Python object that may lead to remote code execution on Superset's web backend. The Superset metadata db is an 'internal' component that is typically only accessible directly by the system administrator and the superset process itself. Gaining access to that database should be difficult and require significant privileges. This vulnerability impacts Apache Superset versions 1.5.0 up to and including 2.1.0. Users are recommended to upgrade to version 2.1.1 or later.

GHSA-fj4x-m62j-wvwg