【漏洞复现】Metabase 远程命令执行漏洞(CVE-2023-38646)

最新推荐文章于 2024-07-15 10:51:30 发布
最新推荐文章于 2024-07-15 10:51:30 发布
阅读量4.8k 收藏 10
点赞数 3
分类专栏: 漏洞复现 文章标签: Metabase
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46944519/article/details/132076766
版权

文章目录

前言

Metabase 0.46.6.1之前版本和Metabase Enterprise 1.46.6.1之前版本存在安全漏洞,未经身份认证的远程攻击者利用该漏洞可以在服务器上以运行 Metabase 服务器的权限执行任意命令

声明

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

一、漏洞介绍

Metabase是美国Metabase公司的一个开源数据分析平台。Metabase是一个开源的数据分析和可视化工具,它可以帮助用户轻松地连接到各种数据源,包括数据库、云服务和API,然后使用直观的界面进行数据查询、分析和可视化。

Metabase 0.46.6.1之前版本和Metabase Enterprise 1.46.6.1之前版本存在安全漏洞,该漏洞源于允许攻击者以服务器的权限级别在服务器上执行任意命令

二、影响版本

了解本专栏 订阅专栏 解锁全文 超级会员免费看
李火火安全阁
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Metabase 远程代码执行(CVE-2023-38646)
失心少年
07-30 545
Metabase是一款开源数据分析及可视化工具。它可允许用户连接至各种不同类型数据源,未经身份认证的攻击者可利用本漏洞在服务器上以运行 Metabase服务器的权限进行任意命令执行
斗象-2023攻防演练必修高危漏洞集合(水印)
08-11
11. **Metabase远程代码执行漏洞(CVE-2023-38646)**:Metabase数据分析工具的漏洞可能让攻击者执行远程代码,对数据库造成破坏。 12. **HIKVISION DS/IDS/IPC等设备远程命令执行漏洞(CVE-2021-36260)**:监控设备的...
CVE-2023-38646Metabase远程命令执行漏洞
Rockboy777的博客
09-06 307
Metabase是一个开源的数据分析和可视化工具,它可以帮助用户轻松地连接到各种数据源,包括数据库、云服务和API,然后使用直观的界面进行数据查询、分析和可视化。漏洞编号:CVE-2023-38646Metabase open source 0.46.6.1之前的版本和Metabase Enterprise 1.46.6.1之前的版本存在一个漏洞,允许攻击者在服务器的权限级别上执行任意命令,利用时不需要身份验证。
Metabase geojson任意文件读取漏洞CVE-2021-41277)
最新发布
qq_23003811的博客
07-15 208
四、漏洞复现,访问/api/geojson?url=file:/etc/passwd,flag在这:/api/geojson?Metabase 是一个开源数据分析平台。在受影响的版本中,已发现自定义 GeoJSON 地图()支持和潜在的本地文件包含(包括环境变量)存在安全问题,URL 在加载之前未经过验证。1、FOFA查询语句:app="metabase"
Goby 漏洞发布|Metabase JDBC 远程代码执行漏洞CVE-2024-38646
2401_84247726的博客
04-12 460
兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
Goby 漏洞发布|Metabase JDBC 远程代码执行漏洞CVE-2023-38646
m0_46699477的博客
07-28 1011
Metabase是一个开源的数据分析和可视化工具,它可以帮助用户轻松地连接到各种数据源,包括数据库、云服务和API,然后使用直观的界面进行数据查询、分析和可视化。Metabase 存在远程代码执行漏洞,可导致攻击者在服务器上以运行 Metabase 服务器的权限执行任意代码
漏洞分析|Metabase 代码执行漏洞CVE-2023-38646):H2 JDBC 深入利用
m0_46699477的博客
07-28 1911
利用 TRIGGER + DefineClass 完整的实现了 JAVA 代码执行漏洞回显。
Apache RocketMQ RCE漏洞复现(CVE-2023-33246)
0xSec
06-01 9363
RocketMQ 5.1.0及以下版本,在一定条件下,存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。
Metabase RCE漏洞复现(CVE-2023-38646)
0xSec
07-29 3611
未经身份认证的远程攻击者利用该漏洞可以在服务器上以运行Metabase服务器的权限执行任意命令
metabase-google-sheets-add-on:将配置数据库问题直接导入到Google表格中
04-29
importQuestion :使用其问题ID号(您可以在问题URL的末尾找到)从Metabase导入单个问题到当前的Google表格标签中 importAllQuestions :使用以下名称约定导入Google表格中的所有问题: (metabase/123) ->导入问题...
metabase-compose:使用compose运行Metabase的dockerized解决方案
02-05
"metabase-compose"项目是将Metabase集成到Docker Compose环境中的实践,它简化了Metabase的部署过程。使用这个解决方案,用户无需手动配置服务器环境,只需要运行`docker-compose`命令即可启动包含Metabase在内的...
metabase-datomic:Metabase的Datomic驱动程序
02-05
docker run -p 3000:3000 lambdaisland/metabase-datomic 设计决策 请参阅 发展 要获得基于REPL的工作流,请对metabasemetabase-datomic进行git clone,以使它们位于同级目录中 $ git clone git@github....
2023-0Day(漏洞检测Tools)V1.6 HW-漏洞挖掘-src
08-23
32、Metabase_validate远程命令执行 33、用友时空KSOA_imagefield_sql注入 34、宏景HCM_SQL注入 35、华天动力OA未授权访问及SQL注入 36、致远OA_Ajaxdo_upload 37、亿赛通电子文档安全管理系统命令执行
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 903
任务环境说明:服务器场景:Server1。
Metabase RCE漏洞CVE-2023-38646
holyxp的博客
07-29 612
Metabase是一个开源的数据分析和可视化工具,它可以帮助用户轻松地连接到各种数据源,包括数据库、云服务和API,然后使用直观的界面进行数据查询、分析和可视化。未经身份认证的远程攻击者利用该漏洞可以在服务器上以运行 Metabase 服务器的权限执行任意命令。值得注意的是,修复后的版本也需要在完成安装后才可修复漏洞,否则依旧存在被攻击者利用的可能性。
Metabase 存在任意文件读取漏洞
nnn2188185的博客
04-28 363
Metabase是美国Metabase公司的一个开源数据分析平台。 Metabase 中存在信息泄露漏洞,该漏洞源于产品的 admin->settings->maps->custom maps->add a map 操作缺少权限验证。攻击者可通过该漏洞获得敏感信息。
最新polar CTF CB链_cb链 polar wp(3),2024年最新网络安全事件分发机制收藏这一篇就够了
2401_84281629的博客
05-14 448
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
如何安装metabase
05-05
安装 Metabase 的步骤如下: 1. 首先,确保你已经安装了 Java 8 或以上版本。你可以在终端中运行以下命令来检查 Java 版本: ``` java -version ``` 2. 下载 Metabase 的最新版,你可以从官网下载,也可以从 Github 下载。 3. 解压下载的文件到你想要安装 Metabase 的目录中。 4. 进入解压后的目录,运行以下命令启动 Metabase: ``` java -jar metabase.jar ``` 5. 在浏览器中访问 `http://localhost:3000`,你将看到 Metabase 的登录页面。 6. 输入你的邮箱地址和密码进行注册并登录。 7. 此时,你可以开始使用 Metabase 来连接你的数据库并进行数据分析。 注意事项: - 如果你需要在生产环境中安装 Metabase,建议你使用一个反向代理服务器,如 Nginx 或 Apache。 - Metabase 默认使用 H2 数据库,如果你需要连接其他数据库,你需要下载并安装相应的 JDBC 驱动程序。详情可以参考 Metabase 官方文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李火火安全阁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值