Page 7 of 43 results (0.017 seconds)

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

Apache Superset up to and including 1.3.2 allowed for registered database connections password leak for authenticated users. This information could be accessed in a non-trivial way. Users should upgrade to Apache Superset 1.4.0 or higher. Apache Superset versiones hasta 1.3.2 incluyéndola, permitía un filtrado de contraseñas de conexiones de bases de datos registradas para usuarios autenticados. Esta información podía ser accedida de forma no trivial. • https://lists.apache.org/thread/xww1pccs2ckb5506wrf1v4lmxg198vkb • CWE-522: Insufficiently Protected Credentials •

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

Improper output neutralization for Logs. A specific Apache Superset HTTP endpoint allowed for an authenticated user to forge log entries or inject malicious content into logs. Una neutralización inapropiada de la salida de los registros. Un endpoint final HTTP específico de Apache Superset permitía a un usuario autenticado falsificar entradas de registro o inyectar contenido malicioso en los registros • http://www.openwall.com/lists/oss-security/2021/11/17/2 https://lists.apache.org/thread/53lkszw6d3tybp5t99nvgcj538b9trw9 • CWE-116: Improper Encoding or Escaping of Output CWE-117: Improper Output Neutralization for Logs •

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

Apache Superset up to and including 1.3.1 allowed for database connections password leak for authenticated users. This information could be accessed in a non-trivial way. Apache Superset versiones hasta 1.3.1 incluyéndola, permitía una filtración de las contraseñas de las conexiones a las bases de datos de los usuarios autenticados. Se podía acceder a esta información de forma no trivial • https://lists.apache.org/thread/xpdl2r538o695o7r9gd9qrwqb17bdd3v https://seclists.org/oss-sec/2021/q4/106 • CWE-522: Insufficiently Protected Credentials •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0

Apache Superset up to and including 1.3.0 when configured with ENABLE_TEMPLATE_PROCESSING on (disabled by default) allowed SQL injection when a malicious authenticated user sends an http request with a custom URL. Apache Superset versiones hasta 1.3.0 incluyéndola, cuando era configurado con ENABLE_TEMPLATE_PROCESSING habilitado (deshabilitado por defecto), permitía una inyección SQL cuando un usuario autenticado malicioso enviaba una petición http con una URL personalizada • https://lists.apache.org/thread.html/rf7292731268c6c6e2196ae1583e32ac7189385364268f8d9215e8e6d%40%3Cdev.superset.apache.org%3E • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0

Apache Superset up to and including 1.1 does not sanitize titles correctly on the Explore page. This allows an attacker with Explore access to save a chart with a malicious title, injecting html (including scripts) into the page. Apache Superset versiones hasta 1.1 incluyéndola, no sanea apropiadamente los títulos en la página Explore. Esto permite a un atacante con acceso a Explore guardar un gráfico con un título malicioso, inyectando html (incluyendo scripts) en la página • https://lists.apache.org/thread.html/r2c09254e98b4f8b3deb422762bd0e2aa6d743b72d96c2f90cbaae31a%40%3Cdev.superset.apache.org%3E • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •