Page 7 of 44 results (0.012 seconds)

CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 0

Apache Superset before 1.4.2 is vulnerable to SQL injection in chart data requests. Users should update to 1.4.2 or higher which addresses this issue. Apache Superset versiones anteriores a 1.4.2, es vulnerable a una inyección SQL en peticiones de datos de gráficos. Los usuarios deben actualizar a versión 1.4.2, o superior que aborda este problema • http://www.openwall.com/lists/oss-security/2022/04/13/3 https://lists.apache.org/thread/94th50j5d0y2fw7ysx0g7w3t6jk3z7q6 https://lists.apache.org/thread/ztb9b6jd9rngoxwvq8r4fhpp401o613y • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

Apache Superset up to and including 1.3.2 allowed for registered database connections password leak for authenticated users. This information could be accessed in a non-trivial way. Users should upgrade to Apache Superset 1.4.0 or higher. Apache Superset versiones hasta 1.3.2 incluyéndola, permitía un filtrado de contraseñas de conexiones de bases de datos registradas para usuarios autenticados. Esta información podía ser accedida de forma no trivial. • https://lists.apache.org/thread/xww1pccs2ckb5506wrf1v4lmxg198vkb • CWE-522: Insufficiently Protected Credentials •

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

Improper output neutralization for Logs. A specific Apache Superset HTTP endpoint allowed for an authenticated user to forge log entries or inject malicious content into logs. Una neutralización inapropiada de la salida de los registros. Un endpoint final HTTP específico de Apache Superset permitía a un usuario autenticado falsificar entradas de registro o inyectar contenido malicioso en los registros • http://www.openwall.com/lists/oss-security/2021/11/17/2 https://lists.apache.org/thread/53lkszw6d3tybp5t99nvgcj538b9trw9 • CWE-116: Improper Encoding or Escaping of Output CWE-117: Improper Output Neutralization for Logs •

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

Apache Superset up to and including 1.3.1 allowed for database connections password leak for authenticated users. This information could be accessed in a non-trivial way. Apache Superset versiones hasta 1.3.1 incluyéndola, permitía una filtración de las contraseñas de las conexiones a las bases de datos de los usuarios autenticados. Se podía acceder a esta información de forma no trivial • https://lists.apache.org/thread/xpdl2r538o695o7r9gd9qrwqb17bdd3v https://seclists.org/oss-sec/2021/q4/106 • CWE-522: Insufficiently Protected Credentials •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0

Apache Superset up to and including 1.3.0 when configured with ENABLE_TEMPLATE_PROCESSING on (disabled by default) allowed SQL injection when a malicious authenticated user sends an http request with a custom URL. Apache Superset versiones hasta 1.3.0 incluyéndola, cuando era configurado con ENABLE_TEMPLATE_PROCESSING habilitado (deshabilitado por defecto), permitía una inyección SQL cuando un usuario autenticado malicioso enviaba una petición http con una URL personalizada • https://lists.apache.org/thread.html/rf7292731268c6c6e2196ae1583e32ac7189385364268f8d9215e8e6d%40%3Cdev.superset.apache.org%3E • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •