BDU:2025-06616

Опубликовано: 30 мая 2025

Источник: fstec

CVSS3: 6.3

CVSS2: 6.5

EPSS Низкий

Описание

Уязвимость программного обеспечения визуализации данных Apache Superset связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Apache Software Foundation

Наименование ПО

Apache Superset

Версия ПО

до 4.1.2 (Apache Superset)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,3)

Высокий уровень опасности (оценка CVSS 4.0 составляет 7,1)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://lists.apache.org/thread/ms2t2oq218hb7l628trsogo4fj7h1135

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-48912
CVE

EPSS

Процентиль: 25%

0.00083

Низкий

6.3 Medium

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

CVE-2025-48912

CVSS3: 6.5

nvd

21 день назад

An authenticated malicious actor using specially crafted requests could bypass row level security configuration by injecting SQL into 'sqlExpression' fields. This allowed the execution of sub-queries to evade parsing defenses ultimately granting unauthorized access to data. This issue affects Apache Superset: before 4.1.2. Users are recommended to upgrade to version 4.1.2, which fixes the issue.

GHSA-8w7f-8pr9-xgwj

github