Apache Superset tiene un proceso de utilización detallado de una vulnerabilidad de acceso no autorizado (CVE-2023-27524)

Enterprise 2023-08-26 00:30:06 views: null

Directorio de artículos

Apache Superset tiene un proceso de utilización detallado de una vulnerabilidad de acceso no autorizado (CVE-2023-27524)

Descargo de responsabilidad: No utilice las tecnologías relevantes en este artículo para realizar pruebas ilegales. Cualquier consecuencia y pérdida directa o indirecta causada por la difusión y el uso de la información o las herramientas proporcionadas en este artículo correrán a cargo del propio usuario. Las consecuencias adversas tienen nada que ver con el autor del artículo. Este artículo es sólo para fines educativos.

1. Introducción al superconjunto de Apache

Búsqueda de cuenta oficial de WeChat: Biblioteca de reaparición de vulnerabilidades de Nanfeng
Este artículo se publicó por primera vez en la cuenta oficial de la Biblioteca de reproducción de vulnerabilidades de Nanfeng

Apache Superset es una plataforma de exploración y visualización de datos de la Fundación Apache.

2. Descripción de la vulnerabilidad

Apache Superset es una plataforma de exploración y visualización de datos de la Fundación Apache. Apache Superset 2.0.1 y versiones anteriores tienen vulnerabilidades de seguridad. Un atacante podría aprovechar esta vulnerabilidad para autenticar y acceder a recursos no autorizados.

ID CVE: CVE-2023-27524
ID CNNVD: CNNVD-202304-1915
ID CNVD:

3. Afecta la versión

Apache Superset 2.0.1 y anteriores
Apache Superset tiene un proceso de utilización detallado de una vulnerabilidad de acceso no autorizado (CVE-2023-27524)

4. declaración de consulta fofa

“Superconjunto de Apache”

5. Recurrencia de la vulnerabilidad

Herramienta de explotación de vulnerabilidades: https://github.com/horizon3ai/CVE-2023-27524
Descargue el software:
luego ejecute el siguiente comando, -u seguido de la dirección que desea detectar.

python3 CVE-2023-27524.py -u http://127.0.0.1/ --validate
Si hay una vulnerabilidad, el valor de una cookie se explotará aquí.
Apache Superset tiene un proceso de utilización detallado de una vulnerabilidad de acceso no autorizado (CVE-2023-27524)

Luego visite la URL vulnerable, use brupsuite para truncar el paquete de datos y reemplace el valor de la cookie explicado anteriormente.
Después del reemplazo, libere el paquete de datos e inicie sesión exitosamente en el fondo de administración de Apache Superset
Apache Superset tiene un proceso de utilización detallado de una vulnerabilidad de acceso no autorizado (CVE-2023-27524)

Apache Superset tiene un proceso de utilización detallado de una vulnerabilidad de acceso no autorizado (CVE-2023-27524)

6.POC&EXP

Si no se puede abrir github, puede obtener el programa de explotación siguiendo
la cuenta oficial Nanfeng Vulnerability Reproduction Library y respondiendo a Vulnerability Reproduction 29
para obtener la dirección de descarga de la herramienta POC:
Apache Superset tiene un proceso de utilización detallado de una vulnerabilidad de acceso no autorizado (CVE-2023-27524)

7. Opiniones de rectificación

Actualmente, el fabricante ha lanzado un parche de actualización para corregir la vulnerabilidad. El enlace para obtener el parche es: https://lists.apache.org/thread/n0ftx60sllf527j7g11kmt24wvof8xyk

8. Revisión pasada

Supongo que te gusta

Origin blog.csdn.net/nnn2188185/article/details/130478979
Recomendado
Clasificación
Diario
Más
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)
2024-05-03(8)
2024-05-02(0)

Code World

© 2018 codetd.com