Vulnerabilidad en Apache Superset (CVE-2024-34693)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

20/06/2024

Última modificación:

13/02/2025

Descripción

Vulnerabilidad de validación de entrada incorrecta en Apache Superset, permite que un atacante autenticado cree una conexión MariaDB con local_infile habilitado. Si tanto el servidor MariaDB (desactivado de forma predeterminada) como el cliente MySQL local en el servidor web están configurados para permitir el archivo local, es posible que el atacante ejecute un comando SQL MySQL/MariaDB específico que pueda leer archivos del servidor e inserte su contenido en una tabla de base de datos MariaDB. Este problema afecta a Apache Superset: antes de 3.1.3 y versión 4.0.0. Se recomienda a los usuarios actualizar a la versión 4.0.1 o 3.1.3, que soluciona el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.80

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:apache:superset::::::::		3.1.3 (excluyendo)
cpe:2.3:a:apache:superset::::::::	4.0.0 (incluyendo)	4.0.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en Apache Superset (CVE-2024-34693)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información