Informazioni sul CVE-2024-39887
Apache Superset: Improper SQL authorisation, parse not checking for specific engine functions
CWE ID: CWE-89
Base Score (CVSS): N/A
CVE: CVE-2024-39887
Descrizione: Una vulnerabilità di iniezione SQL in Apache Superset esiste a causa di un’inadequate neutralizzazione di elementi speciali utilizzati in comandi SQL. Specificamente, certe funzioni del motore non vengono verificate, consentendo agli attaccanti di aggirare l’autorizzazione SQL di Apache Superset. Per mitigare questo, è stata introdotta una nuova chiave di configurazione denominata DISALLOWED_SQL_FUNCTIONS. Questa chiave disabilita l’uso delle seguenti funzioni PostgreSQL: version, query_to_xml, inet_server_addr, e inet_client_addr. Altre funzioni possono essere aggiunte a questa lista per aumentare la protezione. Questo problema si applica a Apache Superset: prima di 4.0.2. Si raccomanda agli utenti di aggiornare alla versione 4.0.2, che risolve il problema.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: None, Confidenzialità: Low, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://lists.apache.org/thread/j55vm41jg3l0x6w49zrmvbf3k0ts5fqz
- http://www.openwall.com/lists/oss-security/2024/07/16/5
Prodotti interessati
- Apache Software Foundation – Apache Superset
Relazioni con altri prodotti
Produttore:Apache Software Foundation
Prodotto: Apache Superset
Anno: 2024
CWE: CWE-89
CVSS: 0.0