流行的开源商业智能平台 Apache Superset 中新发现的一个漏洞可能允许攻击者在未经授权的情况下写入敏感数据。 该漏洞被跟踪为 CVE-2024-55633,CVSS 得分为 7.1(高),源于该平台 SQLLab 功能中对只读查询的不恰当验证。 Superset 的 SQLLab 为用户提供了一个功能强大的界面,以便使用 SQL 查询来探索和可视化数据。 官方漏洞公告解释说:"在 Postgres 分析数据库中,拥有 SQLLab 访问权限的攻击者可以编写一条特殊设计的 SQL DML 语句,但该语句被错误地识别为只读查询,从而使其得以执行。
该漏洞影响 Apache Superset 4.1.0 之前的所有版本。 幸运的是,Apache Superset 开发团队已在 4.1.0 版本中解决了这一问题。 强烈建议用户立即升级到 Apache Superset 4.1.0,以降低被利用的风险。 使用 Superset 的企业应优先为其系统打补丁,以防止潜在的数据泄露并确保其商业智能操作的完整性。
信息来源:https://securityonline.info/cve-2024-55633-apache-superset-vulnerability-exposes-sensitive-data-to-unauthorized-modification/
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局