关于Metabase远程代码执行漏洞(CVE-2023-38646)的安全告知

时间:2024-03-01 14:01:43来源:信息安全部作者:梦之想科技

Metabase是一种开源的商业智能(BI)工具,提供数据探索、查询和可视化的功能。通过使用SQL语句或直观的图形界面进行数据查询和分析,基于Web进行操作,具有自动化报表、审计跟踪、权限管理等功能。

漏洞详情
Metabase存在远程代码执行漏洞(CVE-2023-38646),未经身份验证的恶意攻击者成功利用此漏洞可在目标服务器上执行任意代码,获取目标服务器的控制权限。
该漏洞由于身份验证 API 端点 /***/validate 中的JDBC连接问题引起的,通过向该端点发出请求,可以成功实现远程代码执行(RCE)。

影响范围
Metabase Enterprise 1.46 < 1.46.6.1
Metabase Enterprise 1.45 < 1.45.4.1
Metabase Enterprise 1.44 < 1.44.7.1
Metabase Enterprise 1.43 < 1.43.7.2
Metabase open source 0.46 < 0.46.6.1
Metabase open source 0.45 < v0.45.4.1
Metabase open source 0.44 < 0.44.7.1
Metabase open source 0.43 < 0.43.7.2

漏洞复现
image006.png

修复建议
厂商已发布漏洞修复程序,请根据厂商修复建议进行修复,官方下载链接:
https://github.com/metabase/metabase/releases

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。

参考链接
https://www.metabase.com/blog/security-advisory
https://github.com/metabase/metabase/issues/32552