Apache Superset 存在未授权访问漏洞(CVE |
您所在的位置:网站首页 › hadoop未授权漏洞 › Apache Superset 存在未授权访问漏洞(CVE |
文章目录
Apache Superset 存在未授权访问漏洞(CVE-2023-27524)详细利用过程1. Apache Superset 简介2.漏洞描述3.影响版本4.fofa 查询语句5.漏洞复现6.POC&EXP7.整改意见8.往期回顾
Apache Superset 存在未授权访问漏洞(CVE-2023-27524)详细利用过程
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Apache Superset 简介微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发 Apache Superset 是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。 2.漏洞描述Apache Superset 是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。Apache Superset 2.0.1 版本及之前版本存在安全漏洞。攻击者利用该漏洞验证和访问未经授权的资源。 CVE 编号:CVE-2023-27524 CNNVD 编号:CNNVD-202304-1915 CNVD 编号: 3.影响版本Apache Superset 2.0.1 版本及之前版本 4.fofa 查询语句“Apache Superset” 5.漏洞复现漏洞利用工具 :https://github.com/horizon3ai/CVE-2023-27524 下载该软件: 然后执行如下命令,-u后面跟你想要检测的地址。 python3 CVE-2023-27524.py -u http://127.0.0.1/ --validate 若存在漏洞这里会爆出一个cookie值 然后访问漏洞url,使用brupsuite截断数据包,替换上面爆出来的cookie值。 替换后放开数据包,成功登录进去Apache Superset 管理后台 6.POC&EXP如果github打不开,可以通过以下方式获取利用程序 关注公众号 南风漏洞复现文库 并回复 漏洞复现29 即可获得该 POC 工具下载地址: 7.整改意见目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://lists.apache.org/thread/n0ftx60sllf527j7g11kmt24wvof8xyk 8.往期回顾 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |