CVE-2024-34693

MITJÀ: (6,8)

CVSS3: 5,9

Apache Superset podria permetre que un atacant remot autenticat obtingui informació delicada, causada per una validació d’entrada incorrecta. Mitjançant l’enviament d’una sol·licitud dirigida especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per crear una connexió MariaDB amb local_infile habilitat i executar una ordre específica MySQL/MariaDB SQL que sigui capaç de llegir fitxers del servidor i inserir-ne el contingut en una taula de base de dades MariaDB.

Sistemes Afectats

• Apache Superset 3.0.0
• Apache Superset 4.0.0

Remediació
Actualitzeu a la darrera versió de Superset (3.1.3 o 4.0.1 o posterior), disponible a la llista de correu d’Apache, dijous 20 de juny de 2024 04:14:08 EDT. Vegeu-ne les Referències.

Referències

• CVE-2024-34693: Apache Superset: Server arbitrary file read
• CVE-2024-34693: Apache Superset: Server arbitrary file read