Apache Superset: Session validation vulnerability when using provided default SECRET_KEY
O Apache Superset versões até 2.0.1 permite que atacantes criem cookies de sessão falsificados se a chave secreta padrão não for alterada, possibilitando acesso não autorizado. Esse problema afeta apenas instalações que não personalizaram a SECRET_KEY conforme instruído durante a instalação.
Vulnerabilidade de validação de sessão explorável por meio de cookies de sessão falsificados quando a SECRET_KEY padrão permanece inalterada no Apache Superset ≤2.0.1. Um atacante não autenticado pode criar tokens de sessão válidos para se passar por usuários e acessar recursos não autorizados, desde que a instalação não tenha alterado a configuração padrão de SECRET_KEY. A vulnerabilidade é mitigada definindo uma SECRET_KEY única e aleatória em superset_config.py ou via variável de ambiente SUPERSET_SECRET_KEY.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →