CVE-2022-27479 – SQL injection vulnerability in chart data API
https://notcve.org/view.php?id=CVE-2022-27479
Apache Superset before 1.4.2 is vulnerable to SQL injection in chart data requests. Users should update to 1.4.2 or higher which addresses this issue. Apache Superset versiones anteriores a 1.4.2, es vulnerable a una inyección SQL en peticiones de datos de gráficos. Los usuarios deben actualizar a versión 1.4.2, o superior que aborda este problema • http://www.openwall.com/lists/oss-security/2022/04/13/3 https://lists.apache.org/thread/94th50j5d0y2fw7ysx0g7w3t6jk3z7q6 https://lists.apache.org/thread/ztb9b6jd9rngoxwvq8r4fhpp401o613y • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2021-44451 – API sensitive information leak
https://notcve.org/view.php?id=CVE-2021-44451
Apache Superset up to and including 1.3.2 allowed for registered database connections password leak for authenticated users. This information could be accessed in a non-trivial way. Users should upgrade to Apache Superset 1.4.0 or higher. Apache Superset versiones hasta 1.3.2 incluyéndola, permitía un filtrado de contraseñas de conexiones de bases de datos registradas para usuarios autenticados. Esta información podía ser accedida de forma no trivial. • https://lists.apache.org/thread/xww1pccs2ckb5506wrf1v4lmxg198vkb • CWE-522: Insufficiently Protected Credentials •
CVE-2021-42250 – Possible log injection
https://notcve.org/view.php?id=CVE-2021-42250
Improper output neutralization for Logs. A specific Apache Superset HTTP endpoint allowed for an authenticated user to forge log entries or inject malicious content into logs. Una neutralización inapropiada de la salida de los registros. Un endpoint final HTTP específico de Apache Superset permitía a un usuario autenticado falsificar entradas de registro o inyectar contenido malicioso en los registros • http://www.openwall.com/lists/oss-security/2021/11/17/2 https://lists.apache.org/thread/53lkszw6d3tybp5t99nvgcj538b9trw9 • CWE-116: Improper Encoding or Escaping of Output CWE-117: Improper Output Neutralization for Logs •
CVE-2021-41972 – Credentials leak
https://notcve.org/view.php?id=CVE-2021-41972
Apache Superset up to and including 1.3.1 allowed for database connections password leak for authenticated users. This information could be accessed in a non-trivial way. Apache Superset versiones hasta 1.3.1 incluyéndola, permitía una filtración de las contraseñas de las conexiones a las bases de datos de los usuarios autenticados. Se podía acceder a esta información de forma no trivial • https://lists.apache.org/thread/xpdl2r538o695o7r9gd9qrwqb17bdd3v https://seclists.org/oss-sec/2021/q4/106 • CWE-522: Insufficiently Protected Credentials •
CVE-2021-41971 – Possible SQL Injection when template processing is enabled
https://notcve.org/view.php?id=CVE-2021-41971
Apache Superset up to and including 1.3.0 when configured with ENABLE_TEMPLATE_PROCESSING on (disabled by default) allowed SQL injection when a malicious authenticated user sends an http request with a custom URL. Apache Superset versiones hasta 1.3.0 incluyéndola, cuando era configurado con ENABLE_TEMPLATE_PROCESSING habilitado (deshabilitado por defecto), permitía una inyección SQL cuando un usuario autenticado malicioso enviaba una petición http con una URL personalizada • https://lists.apache.org/thread.html/rf7292731268c6c6e2196ae1583e32ac7189385364268f8d9215e8e6d%40%3Cdev.superset.apache.org%3E • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •