Apache Superset 授权检查错误漏洞
漏洞描述
Apache Superset 是一个数据可视化和数据探索平台。
由于update_charts_owners方法的逻辑错误,拥有 Gamma 权限的用户可以创建仪表盘并将其移动到图表中,尽管用户可能只有编辑或查看仪表板权限,但由于代码错误,可以获得图表的管理权限。
| 漏洞名称 | Apache Superset 授权检查错误漏洞 |
|---|---|
| 漏洞类型 | 授权检查错误 |
| 发现时间 | 2023-12-19 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-i3j1-274p |
| CVE编号 | CVE-2023-49734 |
| CNVD编号 | - |
影响范围
apache-superset@[3.0.0, 3.0.2)
apache-superset@(-∞, 2.1.3)
修复方案
将组件 apache-superset 升级至 3.0.2 及以上版本
将组件 apache-superset 升级至 2.1.3 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-i3j1-274p
https://nvd.nist.gov/vuln/detail/CVE-2023-49734
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
SSH协议前缀截断攻击(Terrapin攻击)
漏洞描述 SSH是流行的加密安全传输协议,可在不安全的网络中为网络服务提供安全的传输环境。 Fabian Bäumer等人发现SSH标准中的ChaCha20-Poly1305和Encrypt-then-MAC算法,存在前缀截断漏洞(Terrapin攻击)。 攻击者可以在初始密钥交换期间注入任意数量的SSH消息,并在交换完成后移除相同数量的消息,从而破坏SSH扩展协商(RFC8308),降级连接安全性。 漏洞利用成本高,在真实场景中被利用几率很低,但影响面较大,OpenSSH、russh、paramiko等受影响的ssh协议实现已发布补丁。 漏洞名称 SSH协议前缀截断攻击(Terrapin攻击) 漏洞类型 安全相关信息的截断 发现时间 2023-12-19 漏洞影响广度 广 MPS编号 MPS-nv0f-qtib CVE编号 CVE-2023-48795 CNVD编号 - 影响范围 russh@(-∞, 0.40.2) golang.org/x/crypto@(-∞, 0.17.0) openssh@(-∞, 9.6) libssh@(-∞, 0.9.8) libssh@[0.10.0...
- 下一篇
CloudNative SIG 成立,助推云原生技术发展与应用
2023年12月,经openKylin社区技术委员会审议通过,CloudNative SIG正式成立。CloudNative SIG由麒麟软件发起成立,主要职责包括推动云原生技术在openKylin社区中的应用与发展,促进各类云原生项目在openKylin平台上的整合和创新,以及推动云原生技术生态系统的发展。 CloudNative SIG的成立,将充分利用openKylin提供的平台,整合最新的云原生技术基础软件栈,促进共同开发云原生项目,推动云原生技术的发展与应用。 01 SIG目标 制定并推动云原生技术栈相关项目的发展规划,确保项目符合行业标准和最佳实践; 参与或组织开发云原生技术栈相关项目,推动项目的不断演进和升级,以适应新的技术趋势和用户需求。 02 SIG职责 负责云原生技术栈相关项目的规划、开发、升级与维护; 编写和维护相关文档,为开发者提供资源,以便更好地理解和使用云原生技术。 03 相关项目 1.kse-rescheduler 错误Pod的自动重调度引擎,Kubernetes默认的异常Pod重启恢复机制存在局限,例如,在资源不足或节点硬件故障导致Pod异常退出的...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS8编译安装MySQL8.0.19
- CentOS7,CentOS8安装Elasticsearch6.8.6
微信收款码
支付宝收款码