The Triple Threat Found in Apache Superset
2023/12/19 SecurityOnline — 最先端の BI Web アプリ Apache Superset で発生した、3件の深刻な脆弱性が注目を浴びている。それらの欠陥は、特権の昇格から SQL インジェクションやリソース消費にいたるまでの、様々なリスクをもたらすものである。そこで浮き彫りとなるのは、タイムリーな更新と用心深いセキュリティ対策の重要性である。
CVE-2023-49734 (CVSS 7.7):特権昇格の脆弱性
この脆弱性の悪用に成功した、低権限のユーザーまたは Gamma ユーザーに対して、チャート・パーミッションの不当なコントロールを許してしまう。この欠陥は、2.1.2 未満のバージョンと、3.0.0 〜 3.0.1 のバージョンに存在し、データの完全性を破壊する可能性があり、高い危険度を持つ。
CVE-2023-49736 (CVSS 6.5):where_in JINJA マクロにおける SQL インジェクション
where_in JINJA マクロの悪用により、SQL インジェクション攻撃が可能になる。このセキュリティ・ギャップは、CVE-2023-49734 と同じバージョンに影響を及ぼし、データベース悪用の可能性が生じる。安全なコーディングを実践することの重要性を示している。
CVE-2023-46104 (CVSS 6.5):ZIP 爆弾による制御不能なリソース消費
攻撃者による ZIP 爆弾のアップロードにより、 データベース/ダッシュボード/データセットのインポートが可能になり、制御不能なリソース消費の典型的なケースを生み出す。この脆弱性は、2.1.2 以下のバージョンと、3.0.0 〜 3.0.1 のバージョンに影響を及ぼすものであり、ファイル・アップロード機能に関連するリスクを示している。
Apache は、バージョン 3.0.2 と 2.1.3 において、これらの脆弱性に対処するためのアップデートに対応した。この迅速な対応が示すのは、ソフトウェア開発における機能性の維持と、セキュリティの確保との間で進行している、きびしい戦いの状況である。
Apache Superset が進化するにつれて、直面する脅威も進化している。これらの脆弱性は、貴重なビジネス・インテリジェンス資産を保護する上で、厳格なセキュリティ・プロトコルと継続的なソフトウェア・アップデートが、常に必要であることを明示している。
2023年に入ってから、これで3回目の、Apache Superset の脆弱性です。これまでに、2023/04/26 の「Apache Superset の脆弱性 CVE-2023-27524 が FIX:脆弱なインスタンスが散在している状況」と、2023/09/07 の「Apache SuperSet の深刻な脆弱性が FIX:リモートコード実行にいたる恐れ」があります。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.