Metabase H2远程代码执行漏洞（CVE-2023-37470）

Metabase是一个数据开源分析和可视化工具，它可以帮助用户轻松连接到各种数据源，包括数据库、云服务和API，然后使用直观的界面进行数据查询、分析和可视化。

8月1日，启明星辰VSRC监测到Metabase中修复了一个远程代码执行漏洞（CVE-2023-37470），该漏洞的CVSSv3评分为10.0。

Metabase中支持嵌入式内存数据库H2，由于连接数据库时过滤不严，可通过H2 JDBC连接导致命令执行，成功利用该漏洞可在Metabase服务器上远程执行代码。

二、影响范围

Metabase Open Source < v0.46.6.4

Metabase Enterprise < v1.46.6.4

Metabase Open Source < v0.45.4.3

Metabase Enterprise < v1.45.4.3

Metabase Open Source < v0.44.7.3

Metabase Enterprise < v1.44.7.3

Metabase Open Source < v0.43.7.3

Metabase Enterprise < v1.43.7.3

三、安全措施

3.1 升级版本

目前该漏洞已经修复，受影响用户可升级到以下版本：

Metabase Open Source >= v0.46.6.4

Metabase Enterprise >= v1.46.6.4

Metabase Open Source >= v0.45.4.3

Metabase Enterprise >= v1.45.4.3

Metabase Open Source >= v0.44.7.3

Metabase Enterprise >= v1.44.7.3

Metabase Open Source >= v0.43.7.3

Metabase Enterprise >= v1.43.7.3

下载链接：

https://github.com/metabase/metabase/security/advisories/GHSA-p7w3-9m58-rq83

注：官方已经删除用户添加 H2 数据库的功能，如果已有与 H2 数据库的连接，仍然可以连接到该数据库，Metabase建议将数据从H2迁移到另一个数据库。

3.2 临时措施

如果不能立即升级，可以通过阻止以下端点在网络层面防止漏洞利用，以缓解该漏洞：

POST /api/database

PUT /api/database/:id

POST /api/setup/validate

注意，阻止这些端点将阻止向Metabase添加新的数据库连接。此外，以上仅阻止了PUT和POST，仍然可以向这些端点发送GET 请求，GET请求与该漏洞无关，如果阻止它们Metabase将停止工作。如果使用 H2 作为基于文件的数据库，可迁移到 SQLite。

检查是否被利用：

在日志（Metabase 日志或负载均衡器/反向代理日志）中搜索返回状态代码为 400的任何对/API/setup/validate的API调用。在 Metabase 实例的生命周期内，该端点只应被调用一次，因此在此之后不应有任何其他调用。如果发现该端点在任何其他时间被调用，则应考虑已被利用，需要立即采取措施。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://github.com/metabase/metabase/security/advisories/GHSA-p7w3-9m58-rq83

https://github.com/metabase/metabase

https://nvd.nist.gov/vuln/detail/CVE-2023-37470

原文始发于微信公众号（维他命安全）：【漏洞通告】Metabase H2远程代码执行漏洞（CVE-2023-37470）