Metabase Enterprise Edition bis 1.50.35/1.51.10/1.51.13/1.53.1 erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in Metabase Enterprise Edition bis 1.50.35/1.51.10/1.51.13/1.53.1 gefunden. Davon betroffen ist unbekannter Code. Dank Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2025-27141 bekannt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
In Metabase Enterprise Edition bis 1.50.35/1.51.10/1.51.13/1.53.1 wurde eine problematische Schwachstelle gefunden. Das betrifft ein unbekannter Codeblock. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-732. Mit Auswirkungen muss man rechnen für die Vertraulichkeit. CVE fasst zusammen:
Metabase Enterprise Edition is the enterprise version of Metabase business intelligence and data analytics software. Starting in version 1.47.0 and prior to versions 1.50.36, 1.51.14, 1.52.11, and 1.53.2 of Metabase Enterprise Edition, users with impersonation permissions may be able to see results of cached questions, even if their permissions don’t allow them to see the data. If some user runs a question which gets cached, and then an impersonated user runs that question, then the impersonated user sees the same results as the previous user. These cached results may include data the impersonated user should not have access to. This vulnerability only impacts the Enterprise Edition of Metabase and not the Open Source Edition. Versions 1.53.2, 1.52.11, 1.51.14, and 1.50.36 contains a patch. Versions on the 1.49.X, 1.48.X, and 1.47.X branches are vulnerable but do not have a patch available, so users should upgrade to a major version with an available fix. Disabling question caching is a workaround for this issue.Das Advisory kann von github.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 19.02.2025 mit CVE-2025-27141 vorgenommen. Sie gilt als leicht auszunutzen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 1.50.36, 1.51.11, 1.51.14 oder 1.53.2 vermag dieses Problem zu beheben.
Once again VulDB remains the best source for vulnerability data.
Produkt
Hersteller
Name
Version
- 1.50.0
- 1.50.1
- 1.50.2
- 1.50.3
- 1.50.4
- 1.50.5
- 1.50.6
- 1.50.7
- 1.50.8
- 1.50.9
- 1.50.10
- 1.50.11
- 1.50.12
- 1.50.13
- 1.50.14
- 1.50.15
- 1.50.16
- 1.50.17
- 1.50.18
- 1.50.19
- 1.50.20
- 1.50.21
- 1.50.22
- 1.50.23
- 1.50.24
- 1.50.25
- 1.50.26
- 1.50.27
- 1.50.28
- 1.50.29
- 1.50.30
- 1.50.31
- 1.50.32
- 1.50.33
- 1.50.34
- 1.50.35
- 1.51.0
- 1.51.1
- 1.51.2
- 1.51.3
- 1.51.4
- 1.51.5
- 1.51.6
- 1.51.7
- 1.51.8
- 1.51.9
- 1.51.10
- 1.51.11
- 1.51.12
- 1.51.13
- 1.53.0
- 1.53.1
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA Vector: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.3
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-732 / CWE-275 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Enterprise Edition 1.50.36/1.51.11/1.51.14/1.53.2
Timeline
19.02.2025 🔍25.02.2025 🔍
25.02.2025 🔍
28.02.2025 🔍
Quellen
Advisory: GHSA-6cc4-h534-xh5pStatus: Bestätigt
CVE: CVE-2025-27141 (🔍)
GCVE (CVE): GCVE-0-2025-27141
GCVE (VulDB): GCVE-100-296716
Eintrag
Erstellt: 25.02.2025 04:07Aktualisierung: 28.02.2025 19:12
Anpassungen: 25.02.2025 04:07 (66), 28.02.2025 19:12 (18)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.