聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Metabase 与多种数据来源相连,如关系数据库、云存储和平面文件等,展现出其灵活性。一旦数据来源被限,用户可使用未编译的拖拽界面创建查询,使 Metabase 能够创建数据可视化如图表、图形和表格。
功能强大的Metabase 中被指存在一个非常严重的漏洞CVE-2023-38646,可导致未认证攻击者以与 Metabase 服务器相同的权限执行任意命令。该漏洞意味着 Metabase 可成为恶意攻击的潜在入口点,从而攻陷所运营系统的完整性。
该漏洞对Metabase 社区版和企业版的几个版本也带来影响。受影响的社区版为 0.43 到0.46,而企业版的受影响版本是1.43到1.46。不过它们也有不受影响的版本:社区版0.43.7.2及后续版本以及企业版1.43.7.2及后续版本。
强烈建议用户立即升级至不受影响的 Metabase 版本。该漏洞可导致攻击者利用并攻陷系统,从而导致重大的数据泄露事故以及业务运营被中断。
另外,有安全研究员表示,Metabase 并未将已修复代码发布在开源仓库中,因此使用 Metabase 开源版本的用户仍然易受攻击。
https://securityonline.info/cve-2023-38646-remote-command-execution-vulnerability-in-metabase/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):开源BI分析工具 Metabase 中存在远程代码执行漏洞,未完全修复
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论