一、 概述

Apache Superset是一个开源的数据可视化和数据探测平台，它基于Python构建，使用了一些类似于Django和Flask的Python web框架，可对数据进行可视化分析。该漏洞是由于用户在默认安装过程中，未对SECRETKEY的默认值进行更改，导致当使用默认的Flask SECRET KEY密钥来签署身份验证会话cookie时，未经身份验证的攻击者可以使用默认密钥伪造会话cookie,并以管理员权限登录到未更改密钥的服务器。

二、 漏洞影响范围

影响版本：

Apache Superset<= 2.0.1

安全版本：

Apache Superset >= 2.1.0

三、解决方案

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

https://www#apache#org/dist/superset/2.1.0

如果受影响的用户无法及时升级，可通过修改SECRET_KEY默认值配置来进行规避，详情参考官方指导：

https://superset#apache#org/docs/installation/configuring-superset/#secret_key-rotation

注：修复漏洞前请将资料备份，并进行充分测试。访问链接需将井号替换为英文点。

分享到：