Se ha detectado una vulnerabilidad crítica en versiones de Apache Superset previas a la 3.0.3.
Análisis
Existe una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenadas en Apache Superset anterior a 3.0.3. Un atacante autenticado con permisos de creación/actualización de gráficos o cuadros de mando podría almacenar un script o añadir un fragmento HTML específico que actuaría como XSS almacenado.
Versiones Afectadas
- Versiones de Apache Superset anteriores a la 3.0.3.
Recomendaciones
- Actualizar a Apache Superset versión 3.0.3.
- Para las versiones 2.X, los usuarios deben cambiar su configuración para incluir:
TALISMAN_CONFIG = {
«content_security_policy»: {
«base-uri»: [«‘self'»],
«default-src»: [«‘self'»],
«img-src»: [«‘self'», «blob:», «data:»],
«worker-src»: [«‘self'», «blob:»],
«connect-src»: [
«‘self'»,
» https://api.mapbox.com» https://api.mapbox.com» ;,
» https://events.mapbox.com» https://events.mapbox.com» ;,
],
«object-src»: «‘none'»,
«style-src»: [
«‘self'»,
«‘unsafe-inline'»,
],
«script-src»: [«‘self'», «‘strict-dynamic'»],
},
«content_security_policy_nonce_in»: [«script-src»],
«force_https»: False,
«session_cookie_secure»: False,
}
Referencias
https://lists.apache.org/thread/wjyvz8om9nwd396lh0bt156mtwjxpsvx