CVE-2020-13948：Apache Superset远程代码执行漏洞

0x01 漏洞简述

2020年09月19日，发现 Apache 邮件组 发布了 superset 代码执行漏洞 的风险通告，该漏洞编号为 CVE-2020-13948 ，漏洞等级： 高危 ，漏洞评分： 7.2 。

经过身份验证的远程攻击者通过发送特制的请求包，可以造成 远程代码执行 影响。

对此，建议广大用户及时将 superset 升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x02 风险等级

360CERT对该漏洞的评定结果如下

0x03 漏洞详情

CVE-2020-13948: 代码执行漏洞

Apache Superset是由Airbnb开发用于数据探索和数据可视化的开源软件，能够处理大量数据。能够通过点击操作快速创建数据报表/数据大屏。

Apache Superset 中存在一处逻辑漏洞，在其模板引擎处理特殊的内容时，允许访问 pythonos 软件包，进而导致任意代码执行。

经过身份验证的远程攻击者通过发送特制的请求包，可以造成 远程代码执行 影响。

0x04 影响版本

• apache:superset : <0.37.0

0x05 修复建议

通用修补建议

升级至 Apache Superset 0.37.1

0x06 参考链接

1. CVE-2020-13948: Apache Superset Remote Code Execution Vulnerability