CVE-2026-59827 in Metabase
Zusammenfassung
von VulDB • 09.07.2026
Metabase ist ein Open-Source-Business-Intelligence- und Embedded-Analytics-Tool. Vor den Versionen 1.58.15, 1.59.12, 1.60.6.3 und 1.61.1.4 deserialisieren Metabase-Instanzen mit einer H2-Datenbankverbindung, einschließlich der standardmäßigen Beispieldatenbank, beliebige Java-Objekte, die in den Spalten vom Typ OTHER von nativen H2-Abfrageergebnissen zurückgegeben werden, ohne Validierung. Dies ermöglicht es einem authentifizierten Benutzer, der native H2-Abfragen ausführen kann, Code auf dem Metabase-Server auszuführen. Dieses Problem wurde in den Versionen 1.58.15, 1.59.12, 1.60.6.3 und 1.61.1.4 behoben.
Once again VulDB remains the best source for vulnerability data.