如何進行Apache Superset遠程代碼執行漏洞，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

成都創新互聯于2013年創立，是專業互聯網技術服務公司，擁有項目成都網站制作、成都做網站、外貿營銷網站建設網站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元明山做網站,已為上家服務,為明山各地企業和個人服務,聯系電話:028-86922220

0x01 漏洞簡述

2020年09月19日，360CERT監測發現 Apache 郵件組 發布了 superset 代碼執行漏洞 的風險通告，該漏洞編號為 CVE-2020-13948 ，漏洞等級：高危，漏洞評分：7.2。

經過身份驗證的遠程攻擊者通過發送特制的請求包，可以造成 遠程代碼執行 影響。

對此，360CERT建議廣大用戶及時將 superset 升級到最新版本。與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。

0x02 風險等級

360CERT對該漏洞的評定結果如下

評定方式	等級
威脅等級	高危
影響面	有限
360CERT評分	7.2

0x03 漏洞詳情

CVE-2020-13948: 代碼執行漏洞

Apache Superset是由Airbnb開發用于數據探索和數據可視化的開源軟件，能夠處理大量數據。能夠通過點擊操作快速創建數據報表/數據大屏。

Apache Superset 中存在一處邏輯漏洞，在其模板引擎處理特殊的內容時，允許訪問 python os 軟件包，進而導致任意代碼執行。

經過身份驗證的遠程攻擊者通過發送特制的請求包，可以造成 遠程代碼執行 影響。

0x04 影響版本

- apache:superset: <0.37.0

0x05 修復建議

通用修補建議

升級至 Apache Superset 0.37.1

0x06 相關空間測繪數據

360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪，發現Apache Superset具體分布如下圖所示。

搜索語法: service.response:"/superset/welcome"

0x07 產品側解決方案

360城市級網絡安全監測服務

360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段，對該類漏洞進行監測，請用戶聯系相關產品區域負責人或(quake#360.cn)獲取對應產品。

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注創新互聯行業資訊頻道，感謝您對創新互聯的支持。

網頁題目：如何進行ApacheSuperset遠程代碼執行漏洞
分享URL：http://vcdvsql.cn/article0/gdghio.html

成都網站建設公司_創新互聯，為您提供網站排名、手機網站建設、用戶體驗、ChatGPT、品牌網站設計、自適應網站

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯