Apache Superset:Gamma 角色中不必要的读取权限 (CVE-2023-42501)
CVE编号
CVE-2023-42501利用情况
暂无补丁情况
N/A披露时间
2023-11-27漏洞描述
在Gamma角色中多余的读取权限会允许经过身份验证的用户读取配置的CSS模板和注释。此问题影响Apache Superset 2.1.2版本之前的版本。用户应该升级到2.1.2或以上版本并运行`superset init`来重建Gamma角色,或者从上述资源中移除`can_read`权限。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| http://www.openwall.com/lists/oss-security/2023/11/27/3 | |
| https://lists.apache.org/thread/vk1rmrh9kz0chjmc9tk7o3md6zpz4ygh |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-276 | 缺省权限不正确 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论