Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache Superset (CVE-2023-42501)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/11/2023
Última modificación:
13/02/2025

Descripción

Los permisos de lectura innecesarios dentro de la función Gamma permitirían a los usuarios autenticados leer plantillas y anotaciones CSS configuradas. Este problema afecta a Apache Superset: antes de 2.1.2. Los usuarios deben actualizar a la versión 2.1.2 o superior y ejecutar `superset init` para reconstruir la función Gamma o eliminar el permiso `can_read` de los recursos mencionados.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:superset:*:*:*:*:*:*:*:* 2.1.1 (excluyendo)