Apache Superset 漏洞：解决存储的 XSS、权限提升和不必要的读取权限问题

　　Apache Superset 是一个流行的开源数据可视化和探索平台，最近被发现存在三个关键安全漏洞。这些漏洞对依赖 Apache Superset 来分析和可视化其数据的组织构成了重大风险。

　　CVE-2023-43701：存储的跨站脚本 (XSS)

　　第一个漏洞 CVE-2023-43701 是一个存储的跨站脚本 (XSS) 漏洞，可能允许攻击者将恶意代码注入 Apache Superset 的元数据中。然后，当用户访问特定的已弃用 API 端点时，可以执行此恶意代码。此漏洞影响低于 2.1.2 的 Apache Superset 版本。

　　CVE-2023-40610：权限升级

　　第二个漏洞 CVE-2023-40610 是一个权限提升漏洞，可能允许攻击者在未经授权的情况下访问敏感数据。此漏洞是由 Apache Superset 2.1.2 及之前版本（不包括 2.1.2）中的不当授权检查导致的。

　　CVE-2023-42501：不必要的读取权限

　　第三个漏洞 CVE-2023-42501 向 Gamma 角色授予不必要的读取权限。此漏洞可能允许攻击者读取配置的 CSS 模板和注释。此漏洞影响低于 2.1.2 的 Apache Superset 版本。

　　补救措施和缓解措施

　　为了解决这些漏洞，Apache Superset 建议用户升级到 2.1.2 或更高版本。此外，用户应运行 superset init 命令来重建 Gamma 角色或从上述资源中删除 can_read 权限。