腾讯云安全中心近期监测到,Apache 官方发布了一份安全通告,披露了其 Apache Superset 存在身份认证绕过漏洞,漏洞编号为 CVE-2023-27524。攻击者可利用该漏洞绕过身份认证,进而访问未授权资源,导致业务受到威胁。
为了保障您的业务安全,腾讯云安全建议您及时开展安全自查,如果受影响,请尽快进行修复更新,避免受到外部攻击。
漏洞详情
根据官方描述,该漏洞由于安装时存在默认配置的 SECRET_KEY 导致攻击者可伪造身份认证,从而访问敏感接口等资源。
风险等级
该漏洞属于高风险漏洞。
漏洞风险
攻击者利用该漏洞可伪造身份认证。
影响版本
Apache Superset < 2.1.0 版本存在该漏洞。
安全版本
Apache Superset >= 2.1.0 版本已修复该漏洞。
修复建议
官方已发布漏洞补丁及修复版本,请先评估业务是否受影响,再酌情升级至安全版本。
临时缓解措施:
参照官方说明修改默认的配置密钥。
如何避免业务受到攻击?
除了按照官方建议修复该漏洞外,腾讯云安全建议您在业务中加强身份认证、访问控制等安全措施,以防止类似漏洞威胁您的业务安全。
在进行安全自查和修复时,您也可以考虑借助腾讯云安全产品,如云防火墙、Web 应用防火墙等,进一步提升您的业务安全能力。
结语
如今,漏洞攻击已成为互联网生态中的常见问题,各种漏洞层出不穷。因此,业务安全必须得到足够的重视。希望本篇文章对您理解该漏洞的风险及修复建议有所帮助,让您的业务安全得到更好的保障。
