Apache Superset身份认证绕过漏洞预警（CVE-2023-27524）

2023-04-27

一、概要

近日，华为云关注到Apache Superset 官方发布安全公告，披露在Apache Superset＜=2.0.1版本中存在一处身份认证绕过漏洞（CVE-2023-27524）。由于Apache Superset 存在不安全的默认配置，未根据安装说明更改默认配置的SECRET_KEY的系统容易受此漏洞影响，未经身份验证的攻击者利用此漏洞可以访问未经授权的资源或执行任意代码。目前漏洞利用细节已公开，风险高。

Apache Superset是用于数据探索和数据可视化的开源软件应用程序，能够处理PB级数据。华为云提醒使用Apache Superset的用户尽快安排自检并做好安全加固。

参考链接：

https://www.cve.org/CVERecord?id=CVE-2023-27524

https://lists.apache.org/thread/n0ftx60sllf527j7g11kmt24wvof8xyk

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

Apache Superset<= 2.0.1

安全版本：

Apache Superset >= 2.1.0

四、漏洞处置

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

https://www.apache.org/dist/superset/2.1.0

如果受影响的用户无法及时升级，可通过修改SECRET_KEY默认值配置来进行规避，详情参考官方指导：

https://superset.apache.org/docs/installation/configuring-superset/#secret_key-rotation

注：修复漏洞前请将资料备份，并进行充分测试。