csaf_certbund - wid-sec-w-2025-1008

wid-sec-w-2025-1008

Vulnerability from csaf_certbund

Published

2025-05-12 22:00

Modified

2025-05-12 22:00

Summary

Apache Superset: Schwachstelle ermöglicht Umgehung von Sicherheitsvorkehrungen

Notes

Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.

Produktbeschreibung

Apache Superset ist eine Open-Source-Plattform zur Datenexploration und -visualisierung.

Angriff

Ein Angreifer kann eine Schwachstelle in Apache Superset ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

Betroffene Betriebssysteme

- Linux - UNIX

JSON

To clipboard

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Apache Superset ist eine Open-Source-Plattform zur Datenexploration und -visualisierung.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein Angreifer kann eine Schwachstelle in Apache Superset ausnutzen, um Sicherheitsvorkehrungen zu umgehen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Linux\n- UNIX",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2025-1008 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2025/wid-sec-w-2025-1008.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2025-1008 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-1008"
      },
      {
        "category": "external",
        "summary": "Mailing List OSS-Secruity vom 2025-05-12",
        "url": "https://seclists.org/oss-sec/2025/q2/119"
      }
    ],
    "source_lang": "en-US",
    "title": "Apache Superset: Schwachstelle erm\u00f6glicht Umgehung von Sicherheitsvorkehrungen",
    "tracking": {
      "current_release_date": "2025-05-12T22:00:00.000+00:00",
      "generator": {
        "date": "2025-05-13T10:21:01.539+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.12"
        }
      },
      "id": "WID-SEC-W-2025-1008",
      "initial_release_date": "2025-05-12T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2025-05-12T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_version_range",
                "name": "\u003c4.1.2",
                "product": {
                  "name": "Apache Superset \u003c4.1.2",
                  "product_id": "T043568"
                }
              },
              {
                "category": "product_version",
                "name": "4.1.2",
                "product": {
                  "name": "Apache Superset 4.1.2",
                  "product_id": "T043568-fixed",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:apache:superset:4.1.2"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "Superset"
          }
        ],
        "category": "vendor",
        "name": "Apache"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2025-27696",
      "product_status": {
        "known_affected": [
          "T043568"
        ]
      },
      "release_date": "2025-05-12T22:00:00.000+00:00",
      "title": "CVE-2025-27696"
    }
  ]
}

CVE-2025-27696 (GCVE-0-2025-27696)

Vulnerability from cvelistv5

Published

2025-05-13 08:21

Modified

2025-05-13 13:15

Severity ?

5.3 (Medium) - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:L/SI:L/SA:N

CWE

CWE-285 - Improper Authorization

Summary

Improper Authorization vulnerability in Apache Superset allows ownership takeover of dashboards, charts or datasets by authenticated users with read permissions. This issue affects Apache Superset: through 4.1.1. Users are recommended to upgrade to version 4.1.2 or above, which fixes the issue.

References

►

URL

Tags

https://lists.apache.org/thread/k2od03bxnxs6vcp80sr03ywcxl194413

vendor-advisory

Impacted products

	Vendor	Product	Version
	Apache Software Foundation	Apache Superset	Version: 0 ≤ 4.1.1

Show details on NVD website