Foram lançados patches para corrigir duas novas vulnerabilidades de segurança no Apache Superset, que poderiam ser exploradas por um invasor para obter execução remota de código em sistemas afetados.

A atualização (versão 2.1.1) aborda os problemas identificados como CVE-2023-39265 e CVE-2023-37941. Estas vulnerabilidades permitem ações maliciosas quando um invasor consegue controlar o banco de dados de metadados do Superset.

Além dessas falhas, a versão mais recente do Superset também corrige um problema separado de permissão inadequada da API REST (CVE-2023-36388), que permite que usuários com baixos privilégios realizem ataques de falsificação de solicitação do lado do servidor (SSRF).

Outras falhas corrigidas na versão mais recente incluem uma vulnerabilidade de leitura de arquivo arbitrário no MySQL, abuso do comando load_examples do superset para obter o URI do banco de dados de metadados a partir da interface do usuário, uso de credenciais padrão para acessar o banco de dados de metadados em algumas instalações do Superset e vazamento de credenciais do banco de dados em texto simples ao consultar a API /api/v1/database como um usuário privilegiado.

A divulgação ocorre pouco mais de quatro meses após a empresa revelar uma falha de alta gravidade no mesmo produto que poderia permitir que invasores não autorizados obtivessem acesso de administrador aos servidores e executassem código arbitrário.