Improper authorization check and possible privilege escalation on Apache Superset up to but excluding 2.1.2. Using the default examples database connection that allows access to both the examples schema and Apache Superset's metadata database, an attacker using a specially crafted CTE SQL statement could change data on the metadata database. This weakness could result on tampering with the authentication/authorization data.
Verificación de autorización incorrecta y posible escalada de privilegios en Apache Superset hasta 2.1.2, pero excluyéndolo. Utilizando la conexión de base de datos de ejemplos predeterminada que permite el acceso tanto al esquema de ejemplos como a la base de datos de metadatos de Apache Superset, un atacante que utilice una declaración SQL CTE especialmente manipulada podría cambiar los datos de la base de datos de metadatos. Esta debilidad podría resultar en la manipulación de los datos de autenticación/autorización.