CVE-2026-33725 in Metabaseالمعلومات

الملخص

بحسب VulDB • 30/06/2026

Metabase هو أداة ذكاء أعمال وتحليلات مدمجة مفتوحة المصدر. في إصدارات Metabase Enterprise السابقة للإصدارات 1.54.22، و1.55.22، و1.56.22، و1.57.16، و1.58.10، و1.59.4، يمكن للمسؤولين المصادق عليهم في Metabase Enterprise Edition تحقيق تنفيذ كود عن بُعد (RCE) وقراءة ملفات بشكل تعسفي عبر نقطة النهاية `POST /api/ee/serialization/import`. يؤدي أرشيف تجزئة مُعدّ بعناية إلى حقن خاصية `INIT` في مواصفات H2 JDBC، مما يتيح تنفيذ SQL تعسفي أثناء مزامنة قاعدة البيانات. لقد أكدنا إمكانية حدوث ذلك على Metabase Cloud. يؤثر هذا الأمر فقط على Metabase Enterprise؛ حيث تفتقر نسخة Metabase OSS (المصدر المفتوح) إلى مسارات الكود المتأثرة. جميع إصدارات Metabase Enterprise التي تدعم خاصية التجزئة، والتي تعود تاريخها إلى الإصدار 1.47 على الأقل، متأثرة بهذه الثغرة. تقوم إصدارات Metabase Enterprise 1.54.22، و1.55.22، و1.56.22، و1.57.16، و1.58.10، و1.59.4 بإصلاح هذه المشكلة. كحل بديل (Workaround)، قم بتعطيل نقطة نهاية استيراد التجزئة في مثيل Metabase الخاص بك لمنع الوصول إلى مسارات الكود الضعيفة.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353791

EPSS

0.00763

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!