漏洞情报 | Metabase 远程代码执行漏洞(CVE-2023-38646)
漏洞情报 | Metabase 远程代码执行漏洞(CVE-2023-38646)
斗象智能安全 2023-07-26 11:16
1.1 漏洞概述
近日,
斗象科技
漏洞情报中心
监控到
metabase
发布了安全通告,修复了一个安全漏洞
。
Metabase 是一款开源的业务智能(BI)工具,可以帮助你把数据库中的数据以可视化的方式呈现给更多人,让他们自己探索数据并发现洞察。Metabase在多个版本中存在远程代码执行漏洞。未经授权的攻击者可以在服务器上执行任意指令,进而控制服务器。
1.2 影响范围
Metabase < 0.46.6.1
Metabase Enterprise Edition < 1.46.6.1
Metabase < 0.45.4.1
Metabase Enterprise Edition < 1.45.4.1
Metabase < 0.44.7.1
Metabase Enterprise Edition < 1.44.7.1
Metabase < 0.43.7.2
Metabase Enterprise Edition < 1.43.7.2
1.3 漏洞复现
1.4 修复建议
>> 1.4.1 版本升级
厂商已发布了漏洞修复程序,安全版本如下:
Metabase >= 0.46.6.1
Metabase Enterprise Edition >= 1.46.6.1
Metabase >= 0.45.4.1
Metabase Enterprise Edition >= 1.45.4.1
Metabase >= 0.44.7.1
Metabase Enterprise Edition >= 1.44.7.1
Metabase >= 0.43.7.2
Metabase Enterprise Edition >= 1.43.7.2
官方下载地址:
https://github.com/metabase/metabase/releases
1.5 参考链接
https://github.com/metabase/metabase/releases/tag/v0.46.6.1