上传时间:2023-06-19
一、 概述
Apache Superset是一个开源的数据可视化和数据探测平台,它基于Python构建,使用了一些类似于Django和Flask的Python web框架,可对数据进行可视化分析。该漏洞是由于用户在默认安装过程中,未对SECRETKEY的默认值进行更改,导致当使用默认的Flask SECRET KEY密钥来签署身份验证会话cookie时,未经身份验证的攻击者可以使用默认密钥伪造会话cookie,并以管理员权限登录到未更改密钥的服务器。
二、 漏洞影响范围
影响版本:
Apache Superset<= 2.0.1
安全版本:
Apache Superset >= 2.1.0
三、解决方案
目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:
https://www#apache#org/dist/superset/2.1.0
如果受影响的用户无法及时升级,可通过修改SECRET_KEY默认值配置来进行规避,详情参考官方指导:
https://superset#apache#org/docs/installation/configuring-superset/#secret_key-rotation
注:修复漏洞前请将资料备份,并进行充分测试。访问链接需将井号替换为英文点。