漏洞名称:
Metabase远程代码执行漏洞(CVE-2023-37470)
组件名称:
Metabase
影响范围:
Metabase Open Source < 0.46.6.4
Metabase Open Source < 0.45.4.3
Metabase Open Source < 0.44.7.3
Metabase Open Source < 0.43.7.3
Metabase Enterprise < 1.46.6.4
Metabase Enterprise < 1.45.4.3
Metabase Enterprise < 1.44.7.3
Metabase Enterprise < 1.43.7.3
漏洞类型:
代码注入
利用条件:
1、用户认证:不需要用户认证
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:未知
<综合评定威胁等级>:严重,能造成远程代码注入。
官方解决方案:
已发布
漏洞分析
组件介绍
Metabase 是一个开源商业智能平台。您可以使用 Metabase 来询问有关您的数据的问题,或将 Metabase 嵌入您的应用程序中,让您的客户自行探索他们的数据。
漏洞简介
2023年8月4日,深信服安全团队监测到一则Metabase组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2023-37470,漏洞威胁等级:严重。
该漏洞是由于Metabase组件对于CVE-2023-38646漏洞未完全修复,攻击者可通过H2连接字符串注入命令,最终可利用该漏洞执行任意命令。
影响范围
Metabase Open Source < 0.46.6.4
Metabase Open Source < 0.45.4.3
Metabase Open Source < 0.44.7.3
Metabase Open Source < 0.43.7.3
Metabase Enterprise < 1.46.6.4
Metabase Enterprise < 1.45.4.3
Metabase Enterprise < 1.44.7.3
Metabase Enterprise < 1.43.7.3
解决方案
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:https://github.com/metabase/metabase/releases
参考链接
https://github.com/metabase/metabase/security/advisories/GHSA-p7w3-9m58-rq83
时间轴
2023/8/4
深信服监测到Metabase官方发布安全补丁。
2023/8/4
深信服千里目安全技术中心发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
如有侵权请联系:admin#unsafe.sh