开源BI分析工具 Metabase 中存在远程代码执行漏洞,未完全修复

发布于 作者:

开源BI分析工具 Metabase 中存在远程代码执行漏洞,未完全修复

综合编译 代码卫士 2023-07-28 18:20

聚焦源代码安全,网罗国内外最新资讯!****

编译:代码卫士

在商业情报 (BI) 领域,开源工具 Metabase 以无缝的数据解释能力占据一席之地。该自助服务BI工具已用于全球各地的组织机构中,赋能用户提出数据问题并获得可视化的、易于理解的答案。Metabase 的设计对用户友好,无需了解SQL或其它编程语言的知识,扩宽了组织机构中的可用性。

Metabase 与多种数据来源相连,如关系数据库、云存储和平面文件等,展现出其灵活性。一旦数据来源被限,用户可使用未编译的拖拽界面创建查询,使 Metabase 能够创建数据可视化如图表、图形和表格。

功能强大的Metabase 中被指存在一个非常严重的漏洞CVE-2023-38646,可导致未认证攻击者以与 Metabase 服务器相同的权限执行任意命令。该漏洞意味着 Metabase 可成为恶意攻击的潜在入口点,从而攻陷所运营系统的完整性。

该漏洞对Metabase 社区版和企业版的几个版本也带来影响。受影响的社区版为 0.43 到0.46,而企业版的受影响版本是1.43到1.46。不过它们也有不受影响的版本:社区版0.43.7.2及后续版本以及企业版1.43.7.2及后续版本。

强烈建议用户立即升级至不受影响的 Metabase 版本。该漏洞可导致攻击者利用并攻陷系统,从而导致重大的数据泄露事故以及业务运营被中断。

另外,有安全研究员表示,Metabase 并未将已修复代码发布在开源仓库中,因此使用 Metabase 开源版本的用户仍然易受攻击。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

谷歌警示自家员工:别使用Bard 生成的代码

谷歌为 Chrome 沙箱逃逸利用链提供三倍赏金

谷歌云 SQL Service 中存在严重漏洞,导致敏感数据遭暴露

谷歌推出安卓应用奖励计划,最高赏金3万美元

别慌!谷歌推出顶级域名 .zip 和 .mov

原文链接

CVE-2023-38646: Remote Command Execution Vulnerability in Metabase

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~