Red Hot Cyber

La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.

CVE-2023-27524

Consulta le ultime CVE critiche emesse
Questo è un servizio gratuito offerto da Red Hot Cyber alla comunità. Consente di consultare, in un’unica pagina, le informazioni relativa ad una singola CVE provenienti dal National Vulnerability Database (NVD) e del National Institute of Standards and Technology (NIST) degli Stati Uniti d’America, del Forum of Incident Response and Security Teams (FIRST) per quanto riguarda l’EPSS score e il percentile, i dati del catalogo KEV del Cybersecurity and Infrastructure Security Agency (CISA), oltre a risorse selezionate di Red Hot Cyber e altre fonti internazionali.

National Vulnerability Database Information

Descrizione: Session Validation attacks in Apache Superset versions up to and including 2.0.1. Installations that have not altered the default configured SECRET_KEY according to installation instructions allow for an attacker to authenticate and access unauthorized resources. This does not affect Superset administrators who have changed the default value for SECRET_KEY config. All superset installations should always set a unique secure random SECRET_KEY. Your SECRET_KEY is used to securely sign all session cookies and encrypting sensitive information on the database. Add a strong SECRET_KEY to your `superset_config.py` file like: SECRET_KEY = <YOUR_OWN_RANDOM_GENERATED_SECRET_KEY> Alternatively you can set it with `SUPERSET_SECRET_KEY` environment variable.

Base Score CVSS: 8.9 (v3.1)

Il **Base Score CVSS** è un punteggio da **0 a 10** che rappresenta la gravità intrinseca di una vulnerabilità. Un punteggio più alto indica una gravità maggiore.

Valore

0.02.55.07.510.0

Pubblicato il: 24/04/2023 16:15:07
Ultima modifica: 07/03/2025 17:07:17
NIST: Sorgente CVE dal National Vulnerability Database (NVD)

Metriche CVSS Dettagli

Base Severity: HIGH

Vector String: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:L
Attack Vector: NETWORK
Attack Complexity: HIGH

Privileges Required: NONE
User Interaction: NONE
Scope: CHANGED

Confidentiality Impact: HIGH
Integrity Impact: HIGH
Availability Impact: LOW

FIRST information

EPSS Score: 0.8041

L'**EPSS (Exploit Prediction Scoring System)** è un punteggio da **0 a 1** che indica la **probabilità** che una vulnerabilità venga sfruttata nel mondo reale nei prossimi 30 giorni. Un valore più alto indica una maggiore probabilità di exploit.

Valore

0.00.250.50.751.0

Percentile: 0.9907

Il **Percentile** indica quanto il punteggio EPSS di questa vulnerabilità sia più alto rispetto a quello di tutte le altre vulnerabilità nel database EPSS. Ad esempio, un percentile di 0.90 (90%) significa che il 90% delle vulnerabilità ha un EPSS score uguale o inferiore a quello attuale.

Valore

0.00.250.50.751.0

*Dati aggiornati al: 2025-07-26

CISA Information (Known Exploited Vulnerabilities)

Il **CISA KEV Catalog** elenca le vulnerabilità che sono state **attivamente sfruttate nel mondo reale**. Se una CVE è presente in questo catalogo, indica che la minaccia è immediata e la mitigazione dovrebbe essere una priorità assoluta.

La CVE **CVE-2023-27524** **È PRESENTE** nel CISA KEV Catalog!

Nome della Vulnerabilità: Apache Superset Insecure Default Initialization of Resource Vulnerability

Descrizione Breve: Apache Superset contains an insecure default initialization of a resource vulnerability that allows an attacker to authenticate and access unauthorized resources on installations that have not altered the default configured SECRET_KEY according to installation instructions.
Data Aggiunta al KEV: 08/01/2024
Vendor/Prodotto: Apache / Superset

Required Action: Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Due Date: 29/01/2024

Articoli pubblicati su Red Hot Cyber

Vulnerabilità Critiche: Apple, Adobe, Apache e Altro nel Radar del Cybersecurity and Infrastructure Security Agency degli Stati Uniti

Riferimenti NVD

Exploit PoC da GitHub

horizon3ai/CVE-2023-27524: Basic PoC for CVE-2023-27524: Insecure Default Configuration in Apache Superset

jakabakos/CVE-2023-27524-Apache-Superset-Auth-Bypass-and-RCE:
ThatNotEasy/CVE-2023-27524: Perform With Apache-SuperSet Leaked Token [CSRF]
Okaytc/Superset_auth_bypass_check: Apahce-Superset身份认证绕过漏洞(CVE-2023-27524)检测工具

ZZ-SOCMAP/CVE-2023-27524: Apache Superset Auth Bypass Vulnerability CVE-2023-27524.

Iscriviti alla nostra newsletter

Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.

Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006