Metabase远程命令执行漏洞(CVE-2023-38646)

北京赛克艾威科技有限公司 2023-07-26

  • 漏洞编号:CVE-2023-38646
  • 漏洞类型:命令执行
  • 漏洞等级:严重
  • 发布时间:2023-07-26

漏洞描述

近日,赛克艾威网络安全实验室监测到Metabase存在远程命令执行漏洞,该漏洞存在于Metabase 中,是一个远程命令执行漏洞。

漏洞危害

未经身份认证的远程攻击者可利用该漏洞,在服务器上以 Metabase 运行用户权限级别执行任意命令。

影响版本

Metabase:Metabase Community	0.46 < 0.46.6.1		>= 0.46.6.1
Metabase:Metabase Community	0.45 < v0.45.4.1	>= v0.45.4.1
Metabase:Metabase Community	0.44 < 0.44.7.1		>= v0.44.7.1
Metabase:Metabase Community	0.43 < 0.43.7.2		>= v0.43.7.2
Metabase:Metabase Enterprise	1.46 < 1.46.6.1		>= 1.46.6.1
Metabase:Metabase Enterprise	1.45 < 1.45.4.1		>= v1.45.4.1
Metabase:Metabase Enterprise	1.44 < 1.44.7.1		>= v1.44.7.1
Metabase:Metabase Enterprise	1.43 < 1.43.7.2		>= v1.43.7.2

修复建议

根据影响版本中的信息,排查并升级到安全版本,或直接访问参考链接获取官方更新指南。
https://www.metabase.com/blog/security-advisory