0x01 免责声明

请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失,均由使用者本人负责。本文所提供的技术信息或代码工具仅供于学习,一切不良后果与文章作者无关。使用者应该遵守法律法规,并尊重他人的合法权益。

0x02 影响版本

Apache Superset 1.3.0-2.0.1

微信图片_20231024234310_副本.png

0x03 网络测绘

fofa:

app="APACHE-Superset"

hunter:

app.name="Apache Superset"

0x04 漏洞复现

复现条件需要登陆,默认用户名密码:

admin/admin

获取ID

微信图片_20231024234452_副本.png

根据ID读取

微信图片_20231024234540_副本-jclq.png