开源BI分析工具 Metabase 中存在远程代码执行漏洞,未完全修复

最新推荐文章于 2024-07-15 10:51:30 发布
最新推荐文章于 2024-07-15 10:51:30 发布
阅读量346 收藏
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247517276&idx=2&sn=0fe8d060cc5c519d99f3e936383d6905&chksm=ea94b536dde33c20a01f016bee84519b7931877eb62ae99de7f03d559b786d4f88d6bd29678e&scene=126&sessionid=0
版权
Metabase,一款流行的开源BI工具,被发现存在CVE-2023-38646漏洞,允许未认证攻击者执行任意命令。此漏洞影响多个版本,用户应尽快升级至不受影响的版本以防止潜在的系统入侵和数据泄露。奇安信代码卫士建议用户关注并采取行动。
摘要由CSDN通过智能技术生成

73522b8d4d6565a4af252c88753fb6f1.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

在商业情报 (BI) 领域,开源工具 Metabase 以无缝的数据解释能力占据一席之地。该自助服务BI工具已用于全球各地的组织机构中,赋能用户提出数据问题并获得可视化的、易于理解的答案。Metabase 的设计对用户友好,无需了解SQL或其它编程语言的知识,扩宽了组织机构中的可用性。

ae0a550f1bc08b7cde69a9d0b86d1bd3.gif

Metabase 与多种数据来源相连,如关系数据库、云存储和平面文件等,展现出其灵活性。一旦数据来源被限,用户可使用未编译的拖拽界面创建查询,使 Metabase 能够创建数据可视化如图表、图形和表格。

功能强大的Metabase 中被指存在一个非常严重的漏洞CVE-2023-38646,可导致未认证攻击者以与 Metabase 服务器相同的权限执行任意命令。该漏洞意味着 Metabase 可成为恶意攻击的潜在入口点,从而攻陷所运营系统的完整性。

该漏洞对Metabase 社区版和企业版的几个版本也带来影响。受影响的社区版为 0.43 到0.46,而企业版的受影响版本是1.43到1.46。不过它们也有不受影响的版本:社区版0.43.7.2及后续版本以及企业版1.43.7.2及后续版本。

强烈建议用户立即升级至不受影响的 Metabase 版本。该漏洞可导致攻击者利用并攻陷系统,从而导致重大的数据泄露事故以及业务运营被中断。

另外,有安全研究员表示,Metabase 并未将已修复代码发布在开源仓库中,因此使用 Metabase 开源版本的用户仍然易受攻击。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《静态应用安全测试全景图》代表厂商

奇安信入选全球《软件成分分析全景图》代表厂商

谷歌警示自家员工:别使用Bard 生成的代码

谷歌为 Chrome 沙箱逃逸利用链提供三倍赏金

谷歌云 SQL Service 中存在严重漏洞,导致敏感数据遭暴露

谷歌推出安卓应用奖励计划,最高赏金3万美元

别慌!谷歌推出顶级域名 .zip 和 .mov

原文链接

https://securityonline.info/cve-2023-38646-remote-command-execution-vulnerability-in-metabase/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

55b924e7ef395fc76ef1f1686c726cd1.jpeg

7f86fae97227a3bb1988c741d2e87d1c.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   91d80d5f6c77c6463abd87354d98d98b.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Metabase 敏感信息泄露漏洞复现(CVE-2021-41277)
千寻的博客
12-20 1839
文章目录漏洞描述漏洞编号FOFA 查询影响范围修复版本:环境搭建漏洞复现漏洞修复摘抄 漏洞描述 metabase 是一个简单、开源的数据分析平台。 在受影响的版本,自定义 GeoJSON 地图(admin->settings->maps->custom maps->add a map)操作缺少权限验证 攻击者可通过该漏洞获得敏感信息。 漏洞编号 CVE-2021-41277 FOFA 查询 app=”metabase” 影响范围 metabase version &lt
漏洞复现】Metabase 远程命令执行漏洞(CVE-2023-38646)
做自己喜欢的事,并将其发挥到极致!
08-03 4803
Metabase是美国Metabase公司的一个开源数据分析平台。Metabase是一个开源的数据分析和可视化工具,它可以帮助用户轻松地连接到各种数据源,包括数据库、云服务和API,然后使用直观的界面进行数据查询、分析和可视化。Metabase 0.46.6.1之前版本和Metabase Enterprise 1.46.6.1之前版本存在安全漏洞,该漏洞源于允许攻击者以服务器的权限级别在服务器上执行任意命令。
CVE-2021-41277——Metabase 信息泄露漏洞
LiBai'S BLOG
11-21 1万+
Metabase 信息泄露漏洞漏洞简介FOFA语法EXP漏洞测试漏洞修复 漏洞简介 Metabase是美国Metabase公司的一个开源数据分析平台。 Metabase 存在信息泄露漏洞,该漏洞源于产品的 admin->settings->maps->custom maps->add a map 操作缺少权限验证。攻击者可通过该漏洞获得敏感信息。 CNNVD编号:CNNVD-202111-1565 危害等级: 超危 CVE编号: CVE-2021-41277 FOFA语法 app="Metabase
Metabase geojson任意文件读取漏洞 (CVE-2021-41277)
最新发布
qq_23003811的博客
07-15 205
四、漏洞复现,访问/api/geojson?url=file:/etc/passwd,flag在这:/api/geojson?Metabase 是一个开源数据分析平台。在受影响的版本,已发现自定义 GeoJSON 地图()支持和潜在的本地文件包含(包括环境变量)存在安全问题,URL 在加载之前经过验证。1、FOFA查询语句:app="metabase"
Metabase任意文件读取漏洞(CVE-2021-41277)
一枚不知名的Java程序猿
10-03 1634
CVE-2021-41277漏洞复现
CVE-2021-41277(metebase信息泄漏漏洞复现)
haoaaao的博客
04-26 1866
0x00 前置知识 1、metebase metabase是一款开源BI分析工具,开发语言clojure+React为主、也有高阶的收费版。 官网:Metabase | Business Intelligence, Dashboards, and Data Visualization可以利用Metabase进行数据分析,数据可视化,报表生成等。 Metabase介绍_Sshine___的博客-CSDN博客_metabase 2、影响版本: metabase v...
开源BI分析工具Metabase配置与完全使用手册
热门推荐
he3more的博客
12-27 1万+
文章目录简介安装初始配置数据分析简单查询创建场景创建集合和仪表盘自定义查询原生查询sql变量动态sql片段管理员操作添加数据库连接oracle成员管理邀请新成员权限配置数据权限文件夹权限邮箱配置定时任务 简介 Metabase是一个免费的BI分析工具,可以帮助你把数据库的数据更好的呈现给更多人,通过建立一个”查询“来提炼数据,再以图形化的方式做展示。上手简单,操作门槛低,即使不会sql语句也能使用。同时工具轻量、安装依赖的环境简单、配置简单清楚,只需一个jar包和一条命令就能完成安装 安装 Metabas
metabase,一款开源BI分析工具
05-24
metabase,一款开源BI分析工具
Metabase新一代自助数据探索型开源BI
weixin_38030820的博客
10-25 404
传统的由技术人员制作数据报表,分配给业务人员查看模式已不能适应要求,其一是宽表数据经过台处理后,其技术性成分占比较小,宽表数据绝大部分直白易懂,相较于关系型数据库,业务人员直接使用宽表的可能性大大提高。其二宽表的字段巨多,业务上能做的分析无法穷举,由技术人员事前全部罗列各种可能的组合查询已不现实,应运而生的是由业务人员自行探索才能发挥宽表最大价值。Metabase界面友好、操作简单、易学易用、部署容易、图标靓丽,满足个人使用、团队使用、企业使用。
启动metabase_开源BI工具Metabase安装
weixin_39623355的博客
02-05 554
安装MetabaseMetabase是作为Java jar文件构建和打包的,可以在有Java环境的任何地方运行。下面我们提供有关如何在各种常见配置安装和运行Metabase的详细说明。运行jar文件:这是运行Metabase的最简单和最基本的方式。这里将介绍运行Metabase的一般要求,并介绍如何定制安装。要运行Metabase jar文件,需要在系统上安装Java。目前Metabase需要...
Metabase 信息泄露漏洞(CVE-2021-41277)——漏洞复现
W小哥
11-24 3018
一、漏洞简介 metabase 是一个简单、开源的数据分析平台。 CVE-2021-41277 在受影响的版本,自定义 GeoJSON 地图(admin->settings->maps->custom maps->add a map)操作缺少权限验证,攻击者可通过该漏洞获得敏感信息。 该漏洞CVSS评分:9.9,危害等级:严重 二、影响版本 影响版本: metabase version < 0.40.5 metabase version >= 1.0.0, < 1
Metabase 存在任意文件读取漏洞
nnn2188185的博客
04-28 363
Metabase是美国Metabase公司的一个开源数据分析平台。 Metabase 存在信息泄露漏洞,该漏洞源于产品的 admin->settings->maps->custom maps->add a map 操作缺少权限验证。攻击者可通过该漏洞获得敏感信息。
漏洞分析Metabase 代码执行漏洞(CVE-2024-38646):H2 JDBC 深入利用
2401_84281703的博客
04-27 331
H2 在解析init参数时对会由做特殊处理,根据执行内容的开头来判断是否为需要通过javascript引擎执行。如果以开头就会通过javascript引擎进行编译然后进行执行。我们就可以通过javascript引擎来实现代码执行,不过该方式在 JDK 15 之后移除了默认的解析,但是有意思的是 Metabase 在项目使用到了js引擎技术。最后我们即可构建javascript。
2024年网络安全山东省赛-SMB信息收集解析(职组)_使用访问工具对服务器服务访问,将服务器管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 864
任务环境说明:服务器场景:Server1。
漏洞分析Metabase 代码执行漏洞(CVE-2023-38646):H2 JDBC 深入利用
m0_46699477的博客
07-28 1908
利用 TRIGGER + DefineClass 完整的实现了 JAVA 代码执行漏洞回显。
最新polar CTF CB链_cb链 polar wp(3),2024年最新网络安全事件分发机制收藏这一篇就够了
2401_84281629的博客
05-14 447
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Metabase 远程代码执行(CVE-2023-38646)
失心少年
07-30 541
Metabase是一款开源数据分析及可视化工具。它可允许用户连接至各种不同类型数据源,经身份认证的攻击者可利用本漏洞在服务器上以运行 Metabase服务器的权限进行任意命令执行
Metabase入门与数据库支持详解:快速数据分析与可视化工具
Metabase是一款强大的数据管理和分析工具,专为快速数据处理、可视化和报表生成设计。它提供了一个用户友好的界面,让非技术人员也能轻松地探索和理解复杂的数据。Metabase的核心功能包括: 1. 数据集创建:允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值