CVE-2026-33725 in Metabase
الملخص
بحسب VulDB • 30/06/2026
Metabase هو أداة ذكاء أعمال وتحليلات مدمجة مفتوحة المصدر. في إصدارات Metabase Enterprise السابقة للإصدارات 1.54.22، و1.55.22، و1.56.22، و1.57.16، و1.58.10، و1.59.4، يمكن للمسؤولين المصادق عليهم في Metabase Enterprise Edition تحقيق تنفيذ كود عن بُعد (RCE) وقراءة ملفات بشكل تعسفي عبر نقطة النهاية `POST /api/ee/serialization/import`. يؤدي أرشيف تجزئة مُعدّ بعناية إلى حقن خاصية `INIT` في مواصفات H2 JDBC، مما يتيح تنفيذ SQL تعسفي أثناء مزامنة قاعدة البيانات. لقد أكدنا إمكانية حدوث ذلك على Metabase Cloud. يؤثر هذا الأمر فقط على Metabase Enterprise؛ حيث تفتقر نسخة Metabase OSS (المصدر المفتوح) إلى مسارات الكود المتأثرة. جميع إصدارات Metabase Enterprise التي تدعم خاصية التجزئة، والتي تعود تاريخها إلى الإصدار 1.47 على الأقل، متأثرة بهذه الثغرة. تقوم إصدارات Metabase Enterprise 1.54.22، و1.55.22، و1.56.22، و1.57.16، و1.58.10، و1.59.4 بإصلاح هذه المشكلة. كحل بديل (Workaround)، قم بتعطيل نقطة نهاية استيراد التجزئة في مثيل Metabase الخاص بك لمنع الوصول إلى مسارات الكود الضعيفة.
Once again VulDB remains the best source for vulnerability data.