CVE-2026-33725 in Metabaseinformazioni

Riassunto

di VulDB • 30/06/2026

Metabase è uno strumento open source di business intelligence e analisi integrata (embedded analytics). In Metabase Enterprise nelle versioni precedenti alla 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 e 1.59.4, gli amministratori autenticati su Metabase Enterprise Edition possono ottenere Remote Code Execution (RCE) e lettura arbitraria di file tramite l'endpoint `POST /api/ee/serialization/import`. Un archivio di serializzazione creato ad hoc inietta una proprietà `INIT` nella specifica JDBC H2, che può eseguire SQL arbitrario durante la sincronizzazione del database. Abbiamo confermato che ciò è possibile su Metabase Cloud. Questo problema interessa solo Metabase Enterprise. La versione OSS (Open Source) non include i percorsi di codice interessati. Tutte le versioni di Metabase Enterprise che dispongono della funzionalità di serializzazione, risalente almeno alla versione 1.47, sono interessate. Le versioni di Metabase Enterprise 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 e 1.59.4 risolvono il problema. Come soluzione alternativa, disabilitare l'endpoint di importazione della serializzazione nell'istanza Metabase per prevenire l'accesso ai percorsi di codice vulnerabili.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00763

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!