Metabase Pre-auth RCE(CVE-2023-38646)

admin
admin
admin
138876
文章
114
评论
2023年8月1日13:18:38评论146 views字数 621阅读2分4秒阅读模式
Metabase Pre-auth RCE(CVE-2023-38646)

Metabase Pre-auth RCE

(CVE-2023-38646)









Metabase 是一个流行的商业智能和数据可视化软件包。近日,有报道称,Metabase open source和Metabase Enterprise 存在一个漏洞,该允许攻击者不需要任何身份验证在服务器的特权级别上对服务器执行任意命令。漏洞编号为CVE-2023-38646。








01 漏洞描述

这个漏洞是由于 pre-auth API 接口/API/setup/valid中的 JDBC 连接问题造成的。通过精心构造请求,可实现对远程服务器的命令执行,进而接管服务器。建议尽快将 Metabase 升级到最新版本。如果立即升级是不可行的,我们建议阻塞对/api/setup 接口的请求。

Metabase Pre-auth RCE(CVE-2023-38646)


02 漏洞影响版本

Metabase open source < 0.46.6.1

Metabase Enterprise < 1.46.6.1


03 漏洞修复方案

目前,官方已发布新版本修复该漏洞,建议用户尽快更新。

https://github.com/metabase/metabase/releases


04 参考链接

https://github.com/0xrobiul/CVE-2023-38646

https://blog.calif.io/p/reproducing-cve-2023-38646-metabase

END


原文始发于微信公众号(锋刃科技):Metabase Pre-auth RCE(CVE-2023-38646)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月1日13:18:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Metabase Pre-auth RCE(CVE-2023-38646)https://cn-sec.com/archives/1925308.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息