Apache Software Foundation ha anunciado el lanzamiento de Apache Superset 4.1.0, una actualización importante que soluciona tres vulnerabilidades de seguridad significativas que afectan a esta plataforma de inteligencia empresarial de código abierto, ampliamente utilizada. Estas vulnerabilidades, varían en gravedad y podrían permitir a los atacantes eludir controles de seguridad, acceder a datos sensibles y obtener privilegios no autorizados.
- CVE-2024-53949: (CVSS : 7.6): Elusión de autorización. Esta vulnerabilidad afecta las implementaciones de Superset donde la opción FAB_ADD_SECURITY_API está habilitada (deshabilitada por defecto). Permite que los usuarios con privilegios bajos exploten la API para crear nuevos roles, lo que podría escalar sus privilegios y obtener acceso no autorizado a funcionalidades sensibles.
- CVE-2024-53948: (CVSS: 5.3): Vulnerabilidad de generación de mensajes de error que contienen información sensible. Esta vulnerabilidad surge de la excesiva verbosidad de los mensajes de error generados por Superset. En ciertas condiciones, estos mensajes de error podrían exponer involuntariamente metadatos sobre la base de datos subyacente de análisis, lo que podría proporcionar a los atacantes información valiosa para su explotación posterior.
- CVE-2024-53947: (CVSS: 2.3): Vulnerabilidad de Inyección SQL. Esta vulnerabilidad se origina debido a verificaciones de autorización SQL inapropiadas, específicamente relacionadas con ciertas funciones de PostgreSQL. Los atacantes podrían explotar esta falla para eludir los mecanismos de seguridad de Superset y ejecutar consultas SQL arbitrarias, lo que podría conducir a violaciones de datos y acceso no autorizado a información sensible.
| CVE | Productos afectados | Versiones afectadas | Solución |
| CVE-2024-53949 | Apache Superset. | Desde la versión 2.0.0 hasta antes de la 4.1.0. | Actualizar a la versión 4.1.0. |
| CVE-2024-53948 | Desde la versión 0 hasta antes de la 4.1.0. | ||
| CVE-2024-53947 |
Recomendaciones:
- Actualizar a la versión más reciente de Apache Superset para mitigar las vulnerabilidades de seguridad.
- Deshabilitar funciones de PostgreSQL vulnerables en caso de que la actualización inmediata no sea posible.
- Deshabilitar la opción FAB_ADD_SECURITY_API si no es necesaria para evitar la escalada de privilegios.
Referencias: