A Metabase é uma ferramenta mais direcionada a analistas de business intelligence , apresentando-se como uma ferramenta de self-service BI, desta forma permitindo que os utilizadores encontrem resposta às suas questões e recebam dados de forma visual.
A falha em si, representada pelo CVE-2023-38646 permitia então a execução de código remota com os mesmos privilégios que o servidor da Metabase
Versões afetadas
Community - 0.43 a 0.46
Enterprise - 1.43 a 1.46
Versão corrigida
0.43.7.2
Solução
- Atualizar de acordo com as instruções presentes na página oficial do vendor
Advisory da metabase: https://www.metabase.com/blog/security-advisory
Mais informações: https://blog.assetnote.io/2023/07/22/pre-auth-rce-metabase/
Kommentare