如何進(jìn)行Apache Superset遠(yuǎn)程代碼執(zhí)行漏洞，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

成都創(chuàng)新互聯(lián)于2013年創(chuàng)立，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項(xiàng)目成都網(wǎng)站制作、成都做網(wǎng)站、外貿(mào)營(yíng)銷網(wǎng)站建設(shè)網(wǎng)站策劃，項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命，1280元明山做網(wǎng)站,已為上家服務(wù),為明山各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:028-86922220

0x01 漏洞簡(jiǎn)述

2020年09月19日，360CERT監(jiān)測(cè)發(fā)現(xiàn) Apache 郵件組 發(fā)布了 superset 代碼執(zhí)行漏洞 的風(fēng)險(xiǎn)通告，該漏洞編號(hào)為 CVE-2020-13948 ，漏洞等級(jí)：高危，漏洞評(píng)分：7.2。

經(jīng)過身份驗(yàn)證的遠(yuǎn)程攻擊者通過發(fā)送特制的請(qǐng)求包，可以造成 遠(yuǎn)程代碼執(zhí)行 影響。

對(duì)此，360CERT建議廣大用戶及時(shí)將 superset 升級(jí)到最新版本。與此同時(shí)，請(qǐng)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

0x02 風(fēng)險(xiǎn)等級(jí)

360CERT對(duì)該漏洞的評(píng)定結(jié)果如下

0x03 漏洞詳情

CVE-2020-13948: 代碼執(zhí)行漏洞

Apache Superset是由Airbnb開發(fā)用于數(shù)據(jù)探索和數(shù)據(jù)可視化的開源軟件，能夠處理大量數(shù)據(jù)。能夠通過點(diǎn)擊操作快速創(chuàng)建數(shù)據(jù)報(bào)表/數(shù)據(jù)大屏。

Apache Superset 中存在一處邏輯漏洞，在其模板引擎處理特殊的內(nèi)容時(shí)，允許訪問 python os 軟件包，進(jìn)而導(dǎo)致任意代碼執(zhí)行。

經(jīng)過身份驗(yàn)證的遠(yuǎn)程攻擊者通過發(fā)送特制的請(qǐng)求包，可以造成 遠(yuǎn)程代碼執(zhí)行 影響。

0x04 影響版本

- apache:superset: <0.37.0

0x05 修復(fù)建議

通用修補(bǔ)建議

升級(jí)至 Apache Superset 0.37.1

0x06 相關(guān)空間測(cè)繪數(shù)據(jù)

360安全大腦-Quake網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)通過對(duì)全網(wǎng)資產(chǎn)測(cè)繪，發(fā)現(xiàn)Apache Superset具體分布如下圖所示。

搜索語(yǔ)法: service.response:"/superset/welcome"

0x07 產(chǎn)品側(cè)解決方案

360城市級(jí)網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)

360安全大腦的QUAKE資產(chǎn)測(cè)繪平臺(tái)通過資產(chǎn)測(cè)繪技術(shù)手段，對(duì)該類漏洞進(jìn)行監(jiān)測(cè)，請(qǐng)用戶聯(lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人或(quake##)獲取對(duì)應(yīng)產(chǎn)品。

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對(duì)創(chuàng)新互聯(lián)的支持。