Apache Superset: Session validation vulnerability when using provided default SECRET_KEY
Apache Superset versiones hasta 2.0.1 permite a atacantes falsificar cookies de sesión válidas si la clave secreta predeterminada no se cambia, permitiendo acceso no autorizado. Este problema solo afecta las instalaciones que no personalizaron la SECRET_KEY según se indicó durante la configuración.
Vulnerabilidad de validación de sesión explorable mediante cookies de sesión falsificadas cuando la SECRET_KEY predeterminada permanece sin cambios en Apache Superset ≤2.0.1. Un atacante no autenticado puede crear tokens de sesión válidos para hacerse pasar por usuarios y acceder a recursos no autorizados, siempre que la instalación no haya alterado la configuración predeterminada de SECRET_KEY. La vulnerabilidad se mitiga estableciendo una SECRET_KEY única y generada aleatoriamente en superset_config.py o a través de la variable de entorno SUPERSET_SECRET_KEY.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →