一、基本情况

Apache Superset是一个开源的数据探索和可视化平台，提供了快速创建数据可视化互动仪表盘、丰富的可视化图表模板、细粒度高可扩展性的安全访问模型等强大功能，可以轻松对数据进行可视化分析。

二、漏洞描述

4月25日，Apache官方发布安全公告，修复了Apache Superset中的一个身份验证绕过漏洞（CVE-2023-27524），其CVSSv3评分为8.9，目前该漏洞的细节及PoC/EXP已经公开披露。

Apache Superset 版本<= 2.0.1中，当未根据安装说明更改默认配置的 SECRET_KEY时，Apache Superset 使用默认的Flask SECRET_KEY 密钥来签署身份验证会话cookie，威胁者可以使用该默认密钥伪造会话cookie，并以管理员权限登录到未更改密钥的服务器，导致身份验证绕过和远程代码执行。

三、影响范围

Apache Superset 版本：<= 2.0.1

四、修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

Apache Superset 版本：>= 2.1.0

下载链接：

https://github.com/apache/superset/tags

注：

1.如果Superset 管理员更改了SECRET_KEY 配置默认值，则Superset安装不易受到攻击。

2.Apache Superset 版本 2.1.0中，如果使用默认的“SECRET_KEY”运行，则不允许服务器启动。

临时措施

无法升级到修复版本的受影响用户可以选择更改SECRET_KEY 配置默认值，可参考：

https://superset.apache.org/docs/installation/configuring-superset/#secret_key-rotation

五、参考链接

https://lists.apache.org/thread/n0ftx60sllf527j7g11kmt24wvof8xyk

https://www.horizon3.ai/cve-2023-27524-insecure-default-configuration-in-apache-superset-leads-to-remote-code-execution/

https://www.bleepingcomputer.com/news/security/thousands-of-apache-superset-servers-exposed-to-rce-attacks/