BDU:2023-05600

Опубликовано: 26 июл. 2023

Источник: fstec

CVSS3: 3.8

CVSS2: 4.9

EPSS Высокий

Описание

Уязвимость программного обеспечения визуализации данных Apache Superset связана с использованием альтернативных имен драйверов при импорте базы данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создавать произвольные файлы и получить несанкционированный доступ к защищаемой информации путем подключения к базам данных SQLite

Вендор

Apache Software Foundation

Наименование ПО

Superset

Версия ПО

до 2.1.0 включительно (Superset)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)

Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,8)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до версии 2.1.1 и выше

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-39265
CVE

EPSS

Процентиль: 99%

0.72889

Высокий

3.8 Low

CVSS3

4.9 Medium

CVSS2

Связанные уязвимости

CVE-2023-39265

CVSS3: 3.8

nvd

больше 2 лет назад

Apache Superset would allow for SQLite database connections to be incorrectly registered when an attacker uses alternative driver names like sqlite+pysqlite or by using database imports. This could allow for unexpected file creation on Superset webservers. Additionally, if Apache Superset is using a SQLite database for its metadata (not advised for production use) it could result in more severe vulnerabilities related to confidentiality and integrity. This vulnerability exists in Apache Superset versions up to and including 2.1.0.

GHSA-fm4q-j8g4-c9j4

CVSS3: 6.5

github