Metabase Pre-auth RCE(CVE-2023-38646)

admin
admin
admin
102796
文章
87
评论
2023年8月1日13:18:38评论137 views字数 621阅读2分4秒阅读模式
Metabase Pre-auth RCE(CVE-2023-38646)

Metabase Pre-auth RCE

(CVE-2023-38646)









Metabase 是一个流行的商业智能和数据可视化软件包。近日,有报道称,Metabase open source和Metabase Enterprise 存在一个漏洞,该允许攻击者不需要任何身份验证在服务器的特权级别上对服务器执行任意命令。漏洞编号为CVE-2023-38646。








01 漏洞描述

这个漏洞是由于 pre-auth API 接口/API/setup/valid中的 JDBC 连接问题造成的。通过精心构造请求,可实现对远程服务器的命令执行,进而接管服务器。建议尽快将 Metabase 升级到最新版本。如果立即升级是不可行的,我们建议阻塞对/api/setup 接口的请求。

Metabase Pre-auth RCE(CVE-2023-38646)


02 漏洞影响版本

Metabase open source < 0.46.6.1

Metabase Enterprise < 1.46.6.1


03 漏洞修复方案

目前,官方已发布新版本修复该漏洞,建议用户尽快更新。

https://github.com/metabase/metabase/releases


04 参考链接

https://github.com/0xrobiul/CVE-2023-38646

https://blog.calif.io/p/reproducing-cve-2023-38646-metabase

END


原文始发于微信公众号(锋刃科技):Metabase Pre-auth RCE(CVE-2023-38646)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月1日13:18:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Metabase Pre-auth RCE(CVE-2023-38646)https://cn-sec.com/archives/1925308.html

发表评论

匿名网友 填写信息