Superset

Die Schwachstelle betrifft die Datenanalyse- und Visualisierungsplattform Apache Superset und beruht auf einer unsicheren Standardkonfiguration. Superset verwendet einen geheimen Schlüssel (SECRET_KEY), um Sitzungs-Cookies kryptografisch zu signieren und sensible Informationen in der Datenbank zu verschlüsseln. Bei der Installation ist dafür ein fest vorgegebener Standardwert hinterlegt. Wer diesen Schlüssel nicht entsprechend der Installationsanleitung durch einen eigenen, zufällig erzeugten Wert ersetzt, betreibt seine Instanz mit einem allgemein bekannten Geheimnis. Ein Angreifer kann dieses bekannte Geheimnis nutzen, um gültige Sitzungs-Cookies selbst zu signieren und zu fälschen. Dadurch gibt er sich als angemeldeter Benutzer aus, authentifiziert sich ohne legitime Zugangsdaten und greift auf Ressourcen zu, die ihm eigentlich nicht offenstehen. Betroffen sind ausschließlich Installationen mit dem unveränderten Standardschlüssel; Betreiber, die bereits einen eigenen sicheren Wert gesetzt haben, sind nicht angreifbar.