CVE-2024-27315

MITJÀ: (4,3)

CVSS3: 3,8

Apache Superset podria permetre que un atacant remot autenticat obtingui informació confidencial, causada per la inserció d’informació delicada en un missatge d’error mitjançant la funció d’alertes i informes. En enviar una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per obtenir informació delicada i utilitzar aquesta informació per llançar més atacs contra el sistema afectat.

Sistemes Afectats

• Apache Superset 3.0.3
• Apache Superset 3.1.0

Remediació
Consulteu el lloc web d’Apache per obtenir informació sobre pedaços, actualitzacions o solucions alternatives suggerides. Vegeu-ne les Referències.

Referències

• CVE-2024-27315: Apache Superset: Improper error handling on alerts
• CVE-2024-27315: Apache Superset: Improper error handling on alerts
• An authenticated user with privileges to create Alerts on Alerts & Reports has the capability to generate a specially crafted SQL statement that triggers an error on the database.