A Apache Software Foundation lançou a versão 4.1.0 do Apache Superset, uma atualização essencial que aborda três vulnerabilidades significativas na popular plataforma de inteligência de negócios open-source. As falhas, identificadas como CVE-2024-53947, CVE-2024-53948 e CVE-2024-53949, variam em gravidade, podendo permitir que invasores contornem controles de segurança, acessem dados sensíveis e obtenham privilégios não autorizados.

A CVE-2024-53947 refere-se a uma vulnerabilidade de injeção de SQL, originada por verificações inadequadas de autorização em funções específicas do PostgreSQL. Essa falha pode ser explorada para executar consultas SQL arbitrárias, resultando em vazamento de dados e acesso não autorizado. Já a CVE-2024-53948 está ligada à exposição de metadados por meio de mensagens de erro excessivamente detalhadas, que podem fornecer informações valiosas para ataques adicionais.

Por sua vez, a CVE-2024-53949 afeta implantações onde a configuração FAB_ADD_SECURITY_API está ativada (desabilitada por padrão), permitindo que usuários com privilégios limitados criem novos papéis e potencialmente escalem suas permissões. A Fundação recomenda que todos os usuários atualizem imediatamente para a versão 4.1.0, que inclui correções abrangentes para as três vulnerabilidades. Enquanto a atualização não for viável, medidas provisórias podem ser adotadas, como adicionar manualmente funções vulneráveis do PostgreSQL à configuração DISALLOWED_SQL_FUNCTIONS para mitigar a CVE-2024-53947, e desativar a configuração FAB_ADD_SECURITY_API, salvo quando estritamente necessária, para evitar a exploração da CVE-2024-53949.