CVE-2024-55633: Apache Superset Vulnerability Exposes Sensitive Data to Unauthorized Modification
2024/12/12 SecurityOnline — OSS の BI (business intelligence) ツールである Apache Superset に、脆弱性 CVE-2024-55633 (CVSS 7.1) が発見された。この脆弱性は、Superset の SQL Lab 機能における、読み取り専用クエリの不適切な検証に起因するものであり、攻撃者に対して、機密データへの不正な書き込みを許す可能性がある。
Superset の SQL Lab とは、SQL クエリを発行するための WEB UI であり、SQL クエリを用いるデータ検索と、視覚化されたインターフェイスを、ユーザーに提供するものである。
新たに発見された、脆弱性 CVE-2024-55633 により、SQL Lab へのアクセス権を持つ攻撃者であれば、Read-Only 制限を回避する、悪意の SQL ステートメントの作成が可能になる。その結果として、データの不正な変更/削除などにいたる恐れがある。
Apache のアドバイザリでは、「Postgres 分析データベースにおいて、SQL Lab へのアクセス権を持つ攻撃者は、特別に設計された SQL DML ステートメントを作成できる。それは、Read-Only クエリとして誤って識別されるが、実行が可能なものである」と説明されている。
この脆弱性は、Apache Superset のバージョン 4.1.0 未満に影響を及ぼす。幸いなことに、すでに Apache Superset 開発チームは、バージョン 4.1.0 をリリースし、この問題に対処している。
ユーザーに推奨されるのは、速やかに Apache Superset 4.1.0 へとアップグレードし、潜在的なデータ漏洩を防止し、ビジネス・インテリジェンス業務の整合性を確保することだ。
Apache Superset の脆弱性が FIX しました。ご利用のチームは、ご注意ください。前回の関連記事は、2024/07/28 の「Apache Superset の脆弱性 CVE-2024-34693 が FIX:PoC エクスプロイトも提供」となります。よろしければ、Apache Superset で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.