Metabase Pre-auth RCE
(CVE-2023-38646)
Metabase 是一个流行的商业智能和数据可视化软件包。近日,有报道称,Metabase open source和Metabase Enterprise 存在一个漏洞,该允许攻击者不需要任何身份验证在服务器的特权级别上对服务器执行任意命令。漏洞编号为CVE-2023-38646。
01 漏洞描述
这个漏洞是由于 pre-auth API 接口/API/setup/valid中的 JDBC 连接问题造成的。通过精心构造请求,可实现对远程服务器的命令执行,进而接管服务器。建议尽快将 Metabase 升级到最新版本。如果立即升级是不可行的,我们建议阻塞对/api/setup 接口的请求。
02 漏洞影响版本
Metabase open source < 0.46.6.1
Metabase Enterprise < 1.46.6.1
03 漏洞修复方案
目前,官方已发布新版本修复该漏洞,建议用户尽快更新。
https://github.com/metabase/metabase/releases
04 参考链接
https://github.com/0xrobiul/CVE-2023-38646
https://blog.calif.io/p/reproducing-cve-2023-38646-metabase
END
原文始发于微信公众号(锋刃科技):Metabase Pre-auth RCE(CVE-2023-38646)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论