apache-superset
Corregido en
1.4.2
1.4.2
La vulnerabilidad CVE-2022-27479 afecta a Apache Superset en versiones anteriores a 1.4.2. Esta falla de inyección SQL permite a un atacante ejecutar consultas SQL arbitrarias a través de las solicitudes de datos de los gráficos. La explotación exitosa puede comprometer la confidencialidad e integridad de los datos almacenados en la base de datos subyacente. Se recomienda actualizar a la versión 1.4.2 o superior para solucionar este problema.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos de Apache Superset. Esto podría resultar en la exfiltración de información sensible, como credenciales de usuario, datos financieros o información personal. Además, el atacante podría modificar o eliminar datos, causando interrupciones en el servicio y pérdida de información. La inyección SQL es una técnica de ataque bien conocida y ampliamente utilizada, lo que aumenta la probabilidad de que esta vulnerabilidad sea explotada. La severidad crítica de la CVSS indica un alto riesgo de explotación y un impacto significativo en la seguridad de la organización.
CVE-2022-27479 fue publicado el 13 de abril de 2022. No se ha reportado explotación activa en la naturaleza, pero la alta puntuación CVSS (9.8) indica un riesgo significativo. La vulnerabilidad se encuentra en una aplicación de código abierto ampliamente utilizada, lo que aumenta la probabilidad de que sea objeto de escaneos y explotación. Es importante implementar las mitigaciones recomendadas lo antes posible para protegerse contra posibles ataques.
Organizations utilizing Apache Superset for data visualization and business intelligence are at risk, particularly those running versions prior to 1.4.2. Environments with sensitive data stored in the database, such as financial records or user credentials, face a heightened risk of compromise. Shared hosting environments where multiple users share the same Superset instance are also particularly vulnerable.
• python / server:
import requests
import urllib.parse
url = "http://localhost:8888/superset/chart/" # Replace with your Superset URL
payload = "' OR 1=1 -- "
# Construct the malicious URL
params = {'slice_id': payload}
full_url = url + str(params)
# Send the request
response = requests.get(full_url)
# Check for SQL injection indicators in the response
if "SELECT" in response.text:
print("Possible SQL injection detected!")
else:
print("No SQL injection detected.")• generic web:
curl -s -X GET "http://your-superset-host/superset/chart/?slice_id=test' OR 1=1 -- " | grep -i "select"disclosure
patch
Estado del Exploit
EPSS
4.33% (89% percentil)
Vector CVSS
La mitigación principal para CVE-2022-27479 es actualizar Apache Superset a la versión 1.4.2 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la base de datos, utilizar sentencias preparadas para evitar la inyección SQL y monitorear los registros de la aplicación en busca de actividad sospechosa. En entornos donde la actualización es problemática, considere implementar un firewall de aplicaciones web (WAF) con reglas para detectar y bloquear intentos de inyección SQL. Después de la actualización, verifique la integridad de la instalación y confirme que la vulnerabilidad ha sido resuelta revisando los registros de la aplicación y realizando pruebas de penetración.
Actualice Apache Superset a la versión 1.4.2 o superior. Esta versión contiene la corrección para la vulnerabilidad de inyección SQL. La actualización se puede realizar a través del gestor de paquetes de Python (pip) o siguiendo las instrucciones de actualización proporcionadas por Apache Superset.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-27479 is a critical SQL injection vulnerability in Apache Superset versions up to 1.4.1, allowing attackers to execute malicious SQL code.
Yes, if you are running Apache Superset versions 1.4.1 or earlier, you are vulnerable to this SQL injection flaw.
Upgrade Apache Superset to version 1.4.2 or higher to resolve the vulnerability. Consider temporary workarounds if an immediate upgrade is not possible.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a high-priority target.
Refer to the Apache Superset security advisory for detailed information and updates: https://superset.apache.org/docs/security
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.