CVE-2023-49657: Apache Superset Hit by High-Risk Stored XSS Vulnerability
2024/01/24 SecurityOnline — オープンソースのデータ可視化ソフトウェアである、Apache Superset に対する修正プログラムがリリースされ、蓄積型 XSS (cross-site scripting) 攻撃につながる可能性のある深刻な脆弱性に対処した。Apache Software Foundation は、この脆弱性 CVE-2023-49657 について CVSS 値 9.6 と評価している。この脆弱性の深刻度は Critical に分類され、Superset の将来性に暗い影を落としている。
蓄積型 XSS の脆弱性は、特に悪質である。反射型 XSS はユーザーに悪意のリンクをクリックさせる必要があるが、あらかじめ Web サイト内に埋め込まれた悪意のスクリプトを用いる蓄積型 XSS は、ユーザーが当該ページにアクセスするだけで実行されてしまう。
脆弱性 CVE-2023-49657 の悪用に成功した認証済の攻撃者は、チャートやダッシュボードの作成権限や更新権限を行使して、悪意のスクリプトや特定の HTML スニペットの注入が可能になる。この攻撃ベクターでは、不正なコマンド実行や、機密情報へのアクセスが生じる可能性がある。
Apache Superset 3.0.3 未満に、脆弱性 CVE-2023-49657 が存在するため、このプラットフォームを分析作業に利用している多様なデータ駆動型システムが、攻撃の標的になる可能性を持つことになる。
したがって、Apache Software Foundation と Superset は、この欠陥にバージョン 3.0.3 で対処し、パッチを適用した。ただし、2.x のバージョンでは、以下のようにコンフィグレーションを変更する必要がある:
Apache Superset に、脆弱性 CVE-2023-49657 が発生しました。お隣のキュレーション・チームに聞いてみたところ、すでにレポートをアップしているとのことでした。Apache Superset に関しては、2023/12/19 にも「Apache Superset の脆弱性が FIX:特権昇格/SQLi/リソース消費などに対応」という記事がポストされています。よろしければ、Apache Superset で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.