一、漏洞详情

Apache Superset是一个开源的数据探索和可视化平台，提供了快速创建数据可视化互动仪表盘、丰富的可视化图表模板、细粒度高可扩展性的安全访问模型等强大功能，可以轻松对数据进行可视化分析。

Apache官方发布安全公告，修复了Apache Superset中的一个身份验证绕过漏洞（CVE-2023-27524）。由于Apache Superset存在不安全的默认配置，未根据安装说明更改默认SECRET_KEY的系统受此漏洞影响，未经身份认证的远程攻击者利用此漏洞可以访问未经授权的资源或执行恶意代码。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Apache Superset <= 2.0.1

三、修复建议

目前官方已发布安全更新，受影响用户可以更新到2.1.0及以上版本。

https://www.apache.org/dist/superset/2.1.0