Page 3 of 53 results (0.002 seconds)

CVSS: 7.7EPSS: 0%CPEs: 2EXPL: 0

An authenticated Gamma user has the ability to create a dashboard and add charts to it, this user would automatically become one of the owners of the charts allowing him to incorrectly have write permissions to these charts.This issue affects Apache Superset: before 2.1.2, from 3.0.0 before 3.0.2. Users are recommended to upgrade to version 3.0.2 or 2.1.3, which fixes the issue. Un usuario de Gamma autenticado tiene la capacidad de crear un panel y agregarle gráficos; este usuario se convertiría automáticamente en uno de los propietarios de los gráficos, lo que le permitiría tener permisos de escritura incorrectos para estos gráficos. Este problema afecta a Apache Superset: antes de 2.1.2 , desde 3.0.0 antes de 3.0.2. Se recomienda a los usuarios actualizar a la versión 3.0.2 o 2.1.3, que soluciona el problema. • http://www.openwall.com/lists/oss-security/2023/12/19/3 https://lists.apache.org/thread/985h6ltvtbvdoysso780kkj7x744cds5 • CWE-863: Incorrect Authorization •

CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0

A where_in JINJA macro allows users to specify a quote, which combined with a carefully crafted statement would allow for SQL injection in Apache Superset.This issue affects Apache Superset: before 2.1.2, from 3.0.0 before 3.0.2. Users are recommended to upgrade to version 3.0.2, which fixes the issue. Una macro Where_in JINJA permite a los usuarios especificar una cita, que combinada con una declaración cuidadosamente manipulada permitiría la inyección de SQL en Apache Superset. Este problema afecta a Apache Superset: antes de 2.1.2, desde 3.0.0 antes de 3.0.2. Se recomienda a los usuarios actualizar a la versión 3.0.2, que soluciona el problema. • http://www.openwall.com/lists/oss-security/2023/12/19/2 https://lists.apache.org/thread/1kf481bgs3451qcz6hfhobs7xvhp8n1p • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0

Uncontrolled resource consumption can be triggered by authenticated attacker that uploads a malicious ZIP to import database, dashboards or datasets.   This vulnerability exists in Apache Superset versions up to and including 2.1.2 and versions 3.0.0, 3.0.1. El consumo incontrolado de recursos puede ser provocado por un atacante autenticado que carga un ZIP malicioso para importar bases de datos, paneles o conjuntos de datos. Esta vulnerabilidad existe en las versiones de Apache Superset hasta la 2.1.2 inclusive y en las versiones 3.0.0, 3.0.1. • http://www.openwall.com/lists/oss-security/2023/12/19/1 http://www.openwall.com/lists/oss-security/2024/02/14/2 http://www.openwall.com/lists/oss-security/2024/02/14/3 https://lists.apache.org/thread/yxbxg4wryb7cb7wyybk11l5nqy0rsrvl • CWE-400: Uncontrolled Resource Consumption •

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

An authenticated malicious user could initiate multiple concurrent requests, each requesting multiple dashboard exports, leading to a possible denial of service. This issue affects Apache Superset: before 3.0.0 Un usuario malicioso autenticado podría iniciar múltiples solicitudes simultáneas, cada una de las cuales solicita múltiples exportaciones de paneles, lo que lleva a una posible denegación de servicio. Este problema afecta a Apache Superset: antes de 3.0.0 • http://www.openwall.com/lists/oss-security/2023/11/28/6 https://lists.apache.org/thread/yzq5gk1y9lyw6nxwd3xdkxg1djqw1h6l • CWE-770: Allocation of Resources Without Limits or Throttling •

CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0

An authenticated user with read permissions on database connections metadata could potentially access sensitive information such as the connection's username. This issue affects Apache Superset before 3.0.0. Un usuario autenticado con permisos de lectura sobre los metadatos de las conexiones de bases de datos podría acceder a información confidencial, como el nombre de usuario de la conexión. Este problema afecta a Apache Superset anterior a 3.0.0. • http://www.openwall.com/lists/oss-security/2023/11/28/5 https://lists.apache.org/thread/bd0fhtfzrtgo1q8x35tpm8ms144d1t2y • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •