CVE-2023-37470


2023. augusztus 15. 07:54

Metabase, Metabase Enterprise Edition sérülékenysége
Angol cím: Metabase, Metabase Enterprise Edition vulnerability

Publikálás dátuma: 2023.08.04.
Utolsó módosítás dátuma: 2023.08.09.

Leírás

Kód injektálás: A program nem, vagy nem megfelelően szűri a bemeneten feltöltött speciális elemeket, ennek következtében megváltoztatható egy adott kódszegmens szintaxisa vagy viselkedése.

Leírás forrása: CWE-94

Elemzés leírás

A Metabase egy nyílt forráskódú üzleti intelligencia és elemzési platform. Egy biztonsági rés potenciálisan távoli kódfuttatást tehet lehetővé a Metabase szerveren.
A sérülékenység hátterében az áll, hogy az egyik támogatott adattárház (egy beágyazott, memória alapú H2 adatbázis) számos módot kínál arra, hogy egy kapcsolati karakterlánc kódot tartalmazzon, amelyet aztán a beágyazott adatbázist futtató folyamat végrehajt. Mivel a Metabase lehetővé teszi a felhasználók számára az adatbázisokhoz való csatlakozást, egy felhasználó által megadott karakterlánc felhasználható futtatható kód beillesztésére. A Metabase lehetővé teszi a felhasználók számára, hogy érvényesítsék kapcsolati karakterláncukat, mielőtt hozzáadnák egy adatbázis (telepítéskor is). Ez az érvényesítési API az elsődleges támadási vektor, mivel az még érvényesítés nélkül is hívható.

A 0.43.7.3-as, 0.44.7.3-as, 0.45.4.3-as, 0.46.6.4-es, 1.43.7.3-as, 1.44.7.3-as, 1.45.4.3-as és 1.46.6.4-es verzió javítja ezt a problémát azáltal, hogy megszünteti a felhasználók azon jogosultságát, hogy teljesen hozzáadhassák a H2 adatbázist.

Megkerülő megoldásként a ‘POST /api/database’, ‘PUT /api/database/:id’ és ‘POST /api/setup/validateuntil’ végpontok blokkolásával lehetséges a biztonsági rések hálózati szintű blokkolása. Azoknak, akik a H2-t fájl alapú adatbázisként használják, át kell térniük az SQLite-ra.
Elemzés leírás forrása: CVE-2023-37470

Hatás

CVSS3.1 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 3.9

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

github.com

Sérülékeny szoftverek

Metabase 0.43.7.3 előttig
Metabase Enterprise Edition 1.43.7.3 előttig
Metabase 0.44.0-tól 0.44.7.3 előttig
Metabase 0.45.0-tól 0.45.4.3 előttig
Metabase 0.46.0-tól 0.46.6.4 előttig
Metabase Enterprise Edition 1.44.0-tól 1.44.7.3 előttig
Metabase Enterprise Edition 1.45.0-tól 1.45.4.3 előttig
Metabase Enterprise Edition 1.46.0-tól 1.46.6.4 előttig

Címkék

Enterprise Metabase

Legfrissebb sérülékenységek
CVE-2024-20358 – Cisco ASA és FTD sérülékenysége
CVE-2024-20359 – Cisco ASA és FTD sérülékenysége
CVE-2024-20353 – Cisco ASA és FTD sérülékenysége
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
Tovább a sérülékenységekhez »