Page 2 of 39 results (0.004 seconds)

CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0

An authenticated user with read permissions on database connections metadata could potentially access sensitive information such as the connection's username. This issue affects Apache Superset before 3.0.0. Un usuario autenticado con permisos de lectura sobre los metadatos de las conexiones de bases de datos podría acceder a información confidencial, como el nombre de usuario de la conexión. Este problema afecta a Apache Superset anterior a 3.0.0. • http://www.openwall.com/lists/oss-security/2023/11/28/5 https://lists.apache.org/thread/bd0fhtfzrtgo1q8x35tpm8ms144d1t2y • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0

An authenticated attacker with update datasets permission could change a dataset link to an untrusted site by spoofing the HTTP Host header, users could be redirected to this site when clicking on that specific dataset. This issue affects Apache Superset versions before 3.0.0. Un atacante autenticado con permiso para actualizar conjuntos de datos podría cambiar el enlace de un conjunto de datos a un sitio que no es de confianza falsificando el encabezado del host HTTP; los usuarios podrían ser redirigidos a este sitio al hacer clic en ese conjunto de datos específico. Este problema afecta a las versiones de Apache Superset anteriores a la 3.0.0. • https://lists.apache.org/thread/n8348f194d8o8mln3oxd0s8jdl5bxbmn • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •

CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0

Improper payload validation and an improper REST API response type, made it possible for an authenticated malicious actor to store malicious code into Chart's metadata, this code could get executed if a user specifically accesses a specific deprecated API endpoint. This issue affects Apache Superset versions prior to 2.1.2.  Users are recommended to upgrade to version 2.1.2, which fixes this issue. Una validación de payload inadecuado y un tipo de respuesta de API REST inadecuado hicieron posible que un actor malicioso autenticado almacenara código malicioso en los metadatos de Chart; este código podría ejecutarse si un usuario accede específicamente a un endpoint de API obsoleto específico. Este problema afecta a las versiones de Apache Superset anteriores a la 2.1.2. Se recomienda a los usuarios actualizar a la versión 2.1.2, que soluciona este problema. • https://lists.apache.org/thread/4dnr1knk50fw60jxkjgqj228f0xcc892 https://www.openwall.com/lists/oss-security/2023/11/27/4 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0

Unnecessary read permissions within the Gamma role would allow authenticated users to read configured CSS templates and annotations. This issue affects Apache Superset: before 2.1.2. Users should upgrade to version or above 2.1.2 and run `superset init` to reconstruct the Gamma role or remove `can_read` permission from the mentioned resources. Los permisos de lectura innecesarios dentro de la función Gamma permitirían a los usuarios autenticados leer plantillas y anotaciones CSS configuradas. Este problema afecta a Apache Superset: antes de 2.1.2. Los usuarios deben actualizar a la versión 2.1.2 o superior y ejecutar `superset init` para reconstruir la función Gamma o eliminar el permiso `can_read` de los recursos mencionados. • http://www.openwall.com/lists/oss-security/2023/11/27/3 https://lists.apache.org/thread/vk1rmrh9kz0chjmc9tk7o3md6zpz4ygh • CWE-276: Incorrect Default Permissions •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0

Improper authorization check and possible privilege escalation on Apache Superset up to but excluding 2.1.2. Using the default examples database connection that allows access to both the examples schema and Apache Superset's metadata database, an attacker using a specially crafted CTE SQL statement could change data on the metadata database. This weakness could result on tampering with the authentication/authorization data. Verificación de autorización incorrecta y posible escalada de privilegios en Apache Superset hasta 2.1.2, pero excluyéndolo. Utilizando la conexión de base de datos de ejemplos predeterminada que permite el acceso tanto al esquema de ejemplos como a la base de datos de metadatos de Apache Superset, un atacante que utilice una declaración SQL CTE especialmente manipulada podría cambiar los datos de la base de datos de metadatos. • http://www.openwall.com/lists/oss-security/2023/11/27/2 https://github.com/orangecertcc/security-research/security/advisories/GHSA-f678-j579-4xf5 https://lists.apache.org/thread/jvgxpk4dbxyqtsgtl4pdgbd520rc0rot • CWE-863: Incorrect Authorization •