Apache Superset 代码库发现 13 处潜在 SQL 注入漏洞，涉及核心数据库引擎模块

Apache Superset 开源商业智能平台在其代码库中被发现存在多处潜在的 SQL 注入攻击向量。安全扫描工具 Bandit 识别出 13 个位置存在通过字符串拼接方式构造 SQL 查询的风险，这些漏洞被归类为 CWE-89 类型，安全评级为“中危”。

受影响的代码位置分布在多个核心数据库引擎模块和工具文件中，包括 `gsheets.py`、`postgres.py`、`redshift.py` 等数据库连接器，以及用于数据迁移和加密的实用程序文件。这表明风险并非孤立存在，而是可能影响与 Google Sheets、PostgreSQL 和 Amazon Redshift 等多种数据源交互的关键功能。漏洞的根本原因在于直接使用字符串拼接来构建 SQL 语句，而非使用参数化查询等安全方法，这为攻击者操纵查询逻辑并可能访问、修改或破坏数据库数据留下了入口。

对于依赖 Superset 进行数据分析和可视化的组织而言，这些潜在漏洞构成了切实的安全风险。虽然漏洞评级为“中危”且置信度为“中等”，但考虑到 Superset 在企业数据栈中的核心地位，任何成功的 SQL 注入攻击都可能导致敏感业务数据泄露、数据完整性遭破坏，甚至为后续攻击提供跳板。项目维护者面临修复这些代码缺陷的压力，而用户则需要评估其部署实例的受影响程度。