阿帕奇软件基金会（Apache Software Foundation）宣布发布 Apache Superset 4.1.0，这是一个重要更新，可解决影响广泛使用的开源商业智能平台的三个重大安全漏洞。 这些漏洞被识别为 CVE-2024-53947、CVE-2024-53948 和 CVE-2024-53949，严重程度不等，可能允许攻击者绕过安全控制、访问敏感数据和获得未经授权的权限。

CVE-2024-53947： SQL 注入漏洞

此漏洞源自不当的 SQL 授权检查，特别是与某些 PostgreSQL 功能有关的检查。 攻击者可利用此漏洞绕过 Superset 的安全机制并执行任意 SQL 查询，从而可能导致数据泄露和未经授权访问敏感信息。

CVE-2024-53948： 元数据暴露

此漏洞源于 Superset 生成的错误消息过于冗长。 在某些情况下，这些错误信息可能会无意中暴露底层分析数据库的元数据，从而可能为攻击者提供有价值的信息以供进一步利用。

CVE-2024-53949：授权绕过

此漏洞会影响启用了 FAB_ADD_SECURITY_API 的 Superset 部署（默认情况下已禁用）。 该漏洞允许权限较低的用户利用 API 创建新角色，从而可能提升权限并在未经授权的情况下访问敏感功能。

缓解和补救措施

阿帕奇软件基金会敦促所有 Superset 用户立即升级到 4.1.0 版。 该版本包含解决所有三个漏洞的全面补丁。

除升级外，用户还可以实施以下缓解措施：

• CVE-2024-53947： 如果无法立即升级，用户可以手动将有漏洞的 PostgreSQL 函数（query_to_xml_and_xmlschema、table_to_xml 和 table_to_xml_and_xmlschema）添加到 DISALLOWED_SQL_FUNCTIONS 配置设置中。
• CVE-2024-53949：确保 FAB_ADD_SECURITY_API 在非明确需要时禁用。