Apache Superset: Privilege escalation with default examples database 漏洞信息(CVE-2023-40610)

一、漏洞 CVE-2023-40610 基础信息

漏洞标题

Apache Superset: 使用默认示例数据库进行权限提升

来源：AIGC 神龙大模型

漏洞描述信息

未正确授权检查和可能的权限升级在Apache Superset上，直至2.1.2之前。使用默认的示例数据库连接，允许访问示例架构和Apache Superset的元数据数据库，攻击者使用特别设计的CTE SQL语句可以更改元数据数据库中的数据。此弱点可能导致对验证/授权数据进行修改。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

来源：AIGC 神龙大模型

漏洞类别

授权机制不正确

来源：AIGC 神龙大模型

漏洞标题

Apache Superset: Privilege escalation with default examples database

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Improper authorization check and possible privilege escalation on Apache Superset up to but excluding 2.1.2. Using the default examples database connection that allows access to both the examples schema and Apache Superset's metadata database, an attacker using a specially crafted CTE SQL statement could change data on the metadata database. This weakness could result on tampering with the authentication/authorization data.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:N/I:H/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

授权机制不正确

来源：美国国家漏洞数据库 NVD

漏洞标题

Apache Superset 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Apache Superset是美国阿帕奇（Apache）基金会的一个数据可视化和数据探索平台。 Apache Superset 2.1.2 版本之前存在安全漏洞，该漏洞源于存在不正确的授权检查和可能的权限升级问题。攻击者利用该漏洞可以导致身份验证和授权数据被篡改。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2023-40610 的公开POC

#	POC 描述	源链接	神龙链接

一、 漏洞 CVE-2023-40610 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2023-40610 的公开POC

三、漏洞 CVE-2023-40610 的情报信息

一、漏洞 CVE-2023-40610 基础信息