CVE-2026-33725 in Metabasethông tin

Tóm tắt

Bởi VulDB • 25/06/2026

Metabase là một công cụ kinh doanh thông minh (BI) và phân tích nhúng mã nguồn mở. Trong Metabase Enterprise trước các phiên bản 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 và 1.59.4, các quản trị viên đã xác thực trên Metabase Enterprise Edition có thể đạt được RCE (Remote Code Execution - Thực thi mã từ xa) và Đọc tệp tùy ý thông qua điểm cuối `POST /api/ee/serialization/import`. Một kho lưu trữ serialization được tạo ra đặc biệt sẽ chèn thuộc tính `INIT` vào cấu hình JDBC của H2, cho phép thực thi SQL tùy ý trong quá trình đồng bộ hóa cơ sở dữ liệu. Chúng tôi đã xác nhận điều này là khả thi trên Metabase Cloud. Vấn đề này chỉ ảnh hưởng đến Metabase Enterprise. Phiên bản mã nguồn mở (OSS) của Metabase không chứa các đường dẫn mã bị ảnh hưởng. Tất cả các phiên bản Metabase Enterprise có tính năng serialization, bắt đầu từ ít nhất phiên bản 1.47, đều bị ảnh hưởng. Các phiên bản Metabase Enterprise 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 và 1.59.4 đã vá lỗi này. Làm cách khắc phục tạm thời, hãy vô hiệu hóa điểm cuối nhập serialization trong phiên bản Metabase của bạn để ngăn chặn quyền truy cập vào các đường dẫn mã dễ bị tổn thương.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

27/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00763

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!