CVE-2023-37470


2023. augusztus 15. 07:54

Metabase, Metabase Enterprise Edition sérülékenysége
Angol cím: Metabase, Metabase Enterprise Edition vulnerability

Publikálás dátuma: 2023.08.04.
Utolsó módosítás dátuma: 2023.08.09.

Leírás

Kód injektálás: A program nem, vagy nem megfelelően szűri a bemeneten feltöltött speciális elemeket, ennek következtében megváltoztatható egy adott kódszegmens szintaxisa vagy viselkedése.

Leírás forrása: CWE-94

Elemzés leírás

A Metabase egy nyílt forráskódú üzleti intelligencia és elemzési platform. Egy biztonsági rés potenciálisan távoli kódfuttatást tehet lehetővé a Metabase szerveren.
A sérülékenység hátterében az áll, hogy az egyik támogatott adattárház (egy beágyazott, memória alapú H2 adatbázis) számos módot kínál arra, hogy egy kapcsolati karakterlánc kódot tartalmazzon, amelyet aztán a beágyazott adatbázist futtató folyamat végrehajt. Mivel a Metabase lehetővé teszi a felhasználók számára az adatbázisokhoz való csatlakozást, egy felhasználó által megadott karakterlánc felhasználható futtatható kód beillesztésére. A Metabase lehetővé teszi a felhasználók számára, hogy érvényesítsék kapcsolati karakterláncukat, mielőtt hozzáadnák egy adatbázis (telepítéskor is). Ez az érvényesítési API az elsődleges támadási vektor, mivel az még érvényesítés nélkül is hívható.

A 0.43.7.3-as, 0.44.7.3-as, 0.45.4.3-as, 0.46.6.4-es, 1.43.7.3-as, 1.44.7.3-as, 1.45.4.3-as és 1.46.6.4-es verzió javítja ezt a problémát azáltal, hogy megszünteti a felhasználók azon jogosultságát, hogy teljesen hozzáadhassák a H2 adatbázist.

Megkerülő megoldásként a ‘POST /api/database’, ‘PUT /api/database/:id’ és ‘POST /api/setup/validateuntil’ végpontok blokkolásával lehetséges a biztonsági rések hálózati szintű blokkolása. Azoknak, akik a H2-t fájl alapú adatbázisként használják, át kell térniük az SQLite-ra.
Elemzés leírás forrása: CVE-2023-37470

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 9.8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

github.com

Sérülékeny szoftverek

Metabase 0.43.7.3 előttig
Metabase Enterprise Edition 1.43.7.3 előttig
Metabase 0.44.0-tól 0.44.7.3 előttig
Metabase 0.45.0-tól 0.45.4.3 előttig
Metabase 0.46.0-tól 0.46.6.4 előttig
Metabase Enterprise Edition 1.44.0-tól 1.44.7.3 előttig
Metabase Enterprise Edition 1.45.0-tól 1.45.4.3 előttig
Metabase Enterprise Edition 1.46.0-tól 1.46.6.4 előttig

Címkék

Enterprise Metabase

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-31330 – SAP Landscape Transformation sebezhetősége
CVE-2025-27429 – SAP sebezhetősége
CVE-2025-21204 – Windows Process Activation Elevation of Privilege sebezhetősége
CVE-2025-32432 – Craft CMS RCE sebezhetősége
CVE-2025-1976 – Broadcom Brocade Fabric OS Code Injection sebezhetősége
CVE-2025-31324 – SAP NetWeaver sebezhetősége
CVE-2025-24206 – Apple AirPlay sebezhetősége
CVE-2025-24252 – Apple AirPlay sebezhetősége
CVE-2025-2492 – ASUS Router AiCloud sérülékenysége
Tovább a sérülékenységekhez »