漏洞描述:
Metabase是一种流行的商业智能和数据可视化软件包。Metabase open source 0.46.6.1之前的版本和Metabase Enterprise 1.46.6.1之前的版本存在一个漏洞,允许攻击者在服务器的权限级别上执行任意命令。利用时不需要身份验证。该漏洞被指定为 CVE-2023-38646。该漏洞是由预身份验证 API 端点/api/setup/validate中的 JDBC 连接问题引起的。通过向该端点发出请求,我们成功实现了远程代码执行(RCE)。
影响范围:
Metabase Enterprise 1.46 < 1.46.6.1
Metabase Enterprise 1.45 < 1.45.4.1
Metabase Enterprise 1.44 < 1.44.7.1
Metabase Enterprise 1.43 < 1.43.7.2
Metabase open source 0.46 < 0.46.6.1
Metabase open source 0.45 < v0.45.4.1
Metabase open source 0.44 < 0.44.7.1
Metabase open source 0.43 < 0.43.7.2
环境说明:
使用腾讯云轻量服务器安装vulhub
系统:ubuntu20.04
漏洞复现:
1、进入/vulhub/metabase/CVE-2023-38646目录,使用命令启动漏洞环境:
2、服务启动后,访问`http://your-ip:3000`可以查看到Metabase的安装引导页面,填写初始账号密码,并且跳过后续的数据库填写的步骤即可完成安装:
:在touch /tmp/success
已成功在Metabase容器中执行: