CVE-2024-55633: Apache Superset Vulnerability Exposes Sensitive Data to Unauthorized Modification
2024/12/12 SecurityOnline — OSS の BI (business intelligence) ツールである Apache Superset に、脆弱性 CVE-2024-55633 (CVSS 7.1) が発見された。この脆弱性は、Superset の SQL Lab 機能における、読み取り専用クエリの不適切な検証に起因するものであり、攻撃者に対して、機密データへの不正な書き込みを許す可能性がある。
Continue reading “Apache Superset の脆弱性 CVE-2024-55633 が FIX:機密情報の改ざんの可能性”CVE-2024-34693: Apache Superset Arbitrary File Read Vulnerability, PoC Published
2024/07/28 SecurityOnline — Apache Software Foundation は、Apache Superset に存在する任意ファイル読み取りの脆弱性 CVE-2024-34693 に対処する、セキュリティ更新プログラムをリリースした。この脆弱性は、Apache Superset 内の MariaDB プロトコル実装における不適切な入力検証に起因し、バージョン 3.1.3 未満/4.0.0 に影響を及ぼすものだ。攻撃者は、local_infile パラメータを有効化し、MariaDB 接続を作成することで、この脆弱性の悪用を試行できる。
Continue reading “Apache Superset の脆弱性 CVE-2024-34693 が FIX:PoC エクスプロイトも提供”CVE-2023-49657: Apache Superset Hit by High-Risk Stored XSS Vulnerability
2024/01/24 SecurityOnline — オープンソースのデータ可視化ソフトウェアである、Apache Superset に対する修正プログラムがリリースされ、蓄積型 XSS (cross-site scripting) 攻撃につながる可能性のある深刻な脆弱性に対処した。Apache Software Foundation は、この脆弱性 CVE-2023-49657 について CVSS 値 9.6 と評価している。この脆弱性の深刻度は Critical に分類され、Superset の将来性に暗い影を落としている。
Continue reading “Apache Superset の脆弱性 CVE-2023-49657 が FIX:直ちにパッチ適用を!”CISA Adds Apache Superset Bug To Its Known Exploited Vulnerabilities Catalog
2024/01/09 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Apache Superset の脆弱性 CVE-2023-27524 (CVSS:9.8)などをKnown Exploited Vulnerabilities (KEV) カタログに追加した。Apache Superset は、Pythonで書かれたオープンソースのプロダクトであり、Flask Web フレームワークをベースにした、データ可視化とデータ探索のためのプラットフォームである。2022年4月に Horizon3 の研究者たちは、Apache Superset に存在するリモートコード実行を発見した。
Continue reading “CISA KEV 警告 24/01/08: Apache/Adobe/Apple などの脆弱性が追加”The Triple Threat Found in Apache Superset
2023/12/19 SecurityOnline — 最先端の BI Web アプリ Apache Superset で発生した、3件の深刻な脆弱性が注目を浴びている。それらの欠陥は、特権の昇格から SQL インジェクションやリソース消費にいたるまでの、様々なリスクをもたらすものである。そこで浮き彫りとなるのは、タイムリーな更新と用心深いセキュリティ対策の重要性である。
Continue reading “Apache Superset の脆弱性が FIX:特権昇格/SQLi/リソース消費などに対応”Alert: Apache SuperSet Vulnerabilities Expose Servers to Remote Code Execution Attacks
2023/09/07 TheHackerNews — Apache SuperSet に存在する、 2つの新たなセキュリティ脆弱性に対処するパッチがリリースされた。これらの脆弱性が攻撃者に悪用されると、影響を受けるシステム上でリモート・コード実行にいたる可能性がある。今回の更新 (バージョン2.1.1) は、脆弱性 CVE-2023-39265/CVE-2023-37941 を塞ぐものである。それらの脆弱性の悪用に成功した攻撃者は、 Superset のメタデータ・データベースを制御できるようになり、悪質な行為にいたる可能性があるという。
Continue reading “Apache SuperSet の深刻な脆弱性が FIX:リモートコード実行にいたる恐れ”Apache Superset Vulnerability: Insecure Default Configuration Exposes Servers to RCE Attacks
2023/04/26 TheHackerNews — OSS データ可視化ソフトウェア Apache Superset (BI Tool) のメンテナたちは、リモート・コード実行を許す可能性のある、安全性が担保されないデフォルト・コンフィグレーションの問題を修正するプログラムをリリースした。この脆弱性 CVE-2023-27524 (CVSS:8.9) は、Apache Superset バージョン 2.0.1 以下に影響を及ぼす。そして、デフォルトの SECRET_KEY の悪用に成功した攻撃者は、インターネットに露出したインスタンスに対して、不正な認証/リソース・アクセスを行っていく。
Continue reading “Apache Superset の脆弱性 CVE-2023-27524 が FIX:脆弱なインスタンスが散在している状況”
IoT OT Security News 