Apache Superset, una popular plataforma de inteligencia empresarial de código abierto, ha identificado una vulnerabilidad crítica que podría permitir a atacantes realizar modificaciones no autorizadas a datos confidenciales.
- CVE-2024-55633 (CVSS: 7.1 – Alto): Esta vulnerabilidad está relacionada con una autorización inadecuada en la función SQLLab de Apache Superset. El problema surge debido a la validación incorrecta de las consultas marcadas como solo de lectura, lo que permite a los atacantes con acceso a SQLLab ejecutar declaraciones maliciosas de SQL DML que alteran o eliminan datos.
Productos y versiones afectadas:
- Todas las versiones de Apache Superset anteriores a la 4.1.0.
Recomendaciones:
- Actualizar de inmediato todas las instalaciones de Apache Superset a la versión 4.1.0.
- Implementar medidas de control de acceso adicional para SQLLab en entornos de producción.
- Realizar auditorías regulares de configuraciones y consultas para identificar posibles puntos vulnerables.
Referencias: