CVE-2023-37470


2023. augusztus 15. 07:54

Metabase, Metabase Enterprise Edition sérülékenysége
Angol cím: Metabase, Metabase Enterprise Edition vulnerability

Publikálás dátuma: 2023.08.04.
Utolsó módosítás dátuma: 2023.08.09.

Leírás

Kód injektálás: A program nem, vagy nem megfelelően szűri a bemeneten feltöltött speciális elemeket, ennek következtében megváltoztatható egy adott kódszegmens szintaxisa vagy viselkedése.

Leírás forrása: CWE-94

Elemzés leírás

A Metabase egy nyílt forráskódú üzleti intelligencia és elemzési platform. Egy biztonsági rés potenciálisan távoli kódfuttatást tehet lehetővé a Metabase szerveren.
A sérülékenység hátterében az áll, hogy az egyik támogatott adattárház (egy beágyazott, memória alapú H2 adatbázis) számos módot kínál arra, hogy egy kapcsolati karakterlánc kódot tartalmazzon, amelyet aztán a beágyazott adatbázist futtató folyamat végrehajt. Mivel a Metabase lehetővé teszi a felhasználók számára az adatbázisokhoz való csatlakozást, egy felhasználó által megadott karakterlánc felhasználható futtatható kód beillesztésére. A Metabase lehetővé teszi a felhasználók számára, hogy érvényesítsék kapcsolati karakterláncukat, mielőtt hozzáadnák egy adatbázis (telepítéskor is). Ez az érvényesítési API az elsődleges támadási vektor, mivel az még érvényesítés nélkül is hívható.

A 0.43.7.3-as, 0.44.7.3-as, 0.45.4.3-as, 0.46.6.4-es, 1.43.7.3-as, 1.44.7.3-as, 1.45.4.3-as és 1.46.6.4-es verzió javítja ezt a problémát azáltal, hogy megszünteti a felhasználók azon jogosultságát, hogy teljesen hozzáadhassák a H2 adatbázist.

Megkerülő megoldásként a ‘POST /api/database’, ‘PUT /api/database/:id’ és ‘POST /api/setup/validateuntil’ végpontok blokkolásával lehetséges a biztonsági rések hálózati szintű blokkolása. Azoknak, akik a H2-t fájl alapú adatbázisként használják, át kell térniük az SQLite-ra.
Elemzés leírás forrása: CVE-2023-37470

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 9.8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

Következmények

Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

github.com

Sérülékeny szoftverek

Metabase 0.43.7.3 előttig
Metabase Enterprise Edition 1.43.7.3 előttig
Metabase 0.44.0-tól 0.44.7.3 előttig
Metabase 0.45.0-tól 0.45.4.3 előttig
Metabase 0.46.0-tól 0.46.6.4 előttig
Metabase Enterprise Edition 1.44.0-tól 1.44.7.3 előttig
Metabase Enterprise Edition 1.45.0-tól 1.45.4.3 előttig
Metabase Enterprise Edition 1.46.0-tól 1.46.6.4 előttig

Címkék

Enterprise Metabase

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-7656 – Google Chrome sérülékenysége
CVE-2025-6541 – TP-Link sérülékenysége
CVE-2025-61884 – Oracle E-Business Suite Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2025-2747 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2025-2746 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2022-48503 – Apple Multiple Products Unspecified sérülékenysége
CVE-2025-54957 – Dolby UDC out-of-bounds write sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
Tovább a sérülékenységekhez »