Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00083

Опубликовано: 09 дек. 2024
Источник: fstec
CVSS3: 6.3
CVSS2: 6.5
EPSS Низкий

Описание

Уязвимость функции query_to_xml_and_xmlschema/table_to_xml/table_to_xml_and_xmlschema существует из-за непринятия мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный SQL-код

Вендор

Apache Software Foundation

Наименование ПО

Superset

Версия ПО

до 4.1.0 (Superset)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)
Низкий уровень опасности (базовая оценка CVSS 4.0 составляет 2,3)

Возможные меры по устранению уязвимости

Использовать рекомендации производителя:
https://lists.apache.org/thread/hj3gfsjh67vqw12nlrshlsym4bkopjmn

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 44%
0.00216
Низкий

6.3 Medium

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-53947

CVSS3: 9.8
nvd
около 1 года назад

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Apache Superset. Specifically, certain engine-specific functions are not checked, which allows attackers to bypass Apache Superset's SQL authorization. This issue is a follow-up to CVE-2024-39887 with additional disallowed PostgreSQL functions now included: query_to_xml_and_xmlschema, table_to_xml, table_to_xml_and_xmlschema. This issue affects Apache Superset: <4.1.0. Users are recommended to upgrade to version 4.1.0, which fixes the issue or add these Postgres functions to the config set DISALLOWED_SQL_FUNCTIONS.

github логотип

GHSA-92qf-8gh3-gwcm

CVSS3: 9.8
github
около 1 года назад

Apache Superset: Improper SQL authorisation, parse not checking for specific postgres functions

EPSS

Процентиль: 44%
0.00216
Низкий

6.3 Medium

CVSS3

6.5 Medium

CVSS2