• 漏洞编号：CVE-2023-27524
• 漏洞类型：认证绕过
• 漏洞等级：高危
• 发布时间：2023-04-28

漏洞描述

Apache Superset 是一款现代化的开源大数据工具，也是企业级商业智能 Web 应用，用于数据探索分析和数据可视化。它提供了简单易用的无代码可视化构建器和声称是最先进的 SQL 编辑器，用户可以使用这些工具快速地构建数据仪表盘。CVE-2023-27524 中，未经授权的攻击者可根据默认配置的SECRET_KEY伪造成管理员用户访问Apache Superset。

测绘指纹

fofa：app="Apache Superset

影响版本

Apache Superset <= 2.0.1

漏洞危害

未经授权的攻击者可伪造管理员身份访问敏感资源。

修复建议

官方已发布安全更新，受影响用户可以更新到2.1.0及以上版本：
https://www.apache.org/dist/superset/2.1.0