Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-fm4q-j8g4-c9j4

Опубликовано: 06 сент. 2023
Источник: github
Github: Прошло ревью
CVSS3: 6.5

Описание

Apache Superset Improper Input Validation vulnerability

Apache Superset would allow for SQLite database connections to be incorrectly registered when an attacker uses alternative driver names like sqlite+pysqlite or by using database imports. This could allow for unexpected file creation on Superset webservers. Additionally, if Apache Superset is using a SQLite database for its metadata (not advised for production use) it could result in more severe vulnerabilities related to confidentiality and integrity. This vulnerability exists in Apache Superset versions up to and including 2.1.0.

Ссылки

Пакеты

Наименование

apache-superset

pip
Затронутые версииВерсия исправления

<= 2.1.0

Отсутствует

EPSS

Процентиль: 99%
0.72889
Высокий

6.5 Medium

CVSS3

CVE ID

CVE-2023-39265

Дефекты

CWE-20

Связанные уязвимости

nvd логотип

CVE-2023-39265

CVSS3: 3.8
nvd
больше 2 лет назад

Apache Superset would allow for SQLite database connections to be incorrectly registered when an attacker uses alternative driver names like sqlite+pysqlite or by using database imports. This could allow for unexpected file creation on Superset webservers. Additionally, if Apache Superset is using a SQLite database for its metadata (not advised for production use) it could result in more severe vulnerabilities related to confidentiality and integrity. This vulnerability exists in Apache Superset versions up to and including 2.1.0.

fstec логотип

BDU:2023-05600

CVSS3: 3.8
fstec
больше 2 лет назад

Уязвимость программного обеспечения визуализации данных Apache Superset, связанная с недостаточной проверкой входных данных, позволяющая нарушителю создавать произвольные файлы и получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 99%
0.72889
Высокий

6.5 Medium

CVSS3

CVE ID

CVE-2023-39265

Дефекты

CWE-20