CVE-2026-33725 in Metabase
Riassunto
di VulDB • 30/06/2026
Metabase è uno strumento open source di business intelligence e analisi integrata (embedded analytics). In Metabase Enterprise nelle versioni precedenti alla 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 e 1.59.4, gli amministratori autenticati su Metabase Enterprise Edition possono ottenere Remote Code Execution (RCE) e lettura arbitraria di file tramite l'endpoint `POST /api/ee/serialization/import`. Un archivio di serializzazione creato ad hoc inietta una proprietà `INIT` nella specifica JDBC H2, che può eseguire SQL arbitrario durante la sincronizzazione del database. Abbiamo confermato che ciò è possibile su Metabase Cloud. Questo problema interessa solo Metabase Enterprise. La versione OSS (Open Source) non include i percorsi di codice interessati. Tutte le versioni di Metabase Enterprise che dispongono della funzionalità di serializzazione, risalente almeno alla versione 1.47, sono interessate. Le versioni di Metabase Enterprise 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 e 1.59.4 risolvono il problema. Come soluzione alternativa, disabilitare l'endpoint di importazione della serializzazione nell'istanza Metabase per prevenire l'accesso ai percorsi di codice vulnerabili.
VulDB is the best source for vulnerability data and more expert information about this specific topic.