漏洞情报 | Metabase 远程代码执行漏洞(CVE-2023-38646)

漏洞情报 | Metabase 远程代码执行漏洞(CVE-2023-38646)
2023-7-26 11:16:1 Author: mp.weixin.qq.com(查看原文) 阅读量:17 收藏

1.1 漏洞概述

近日，斗象科技漏洞情报中心监控到metabase发布了安全通告，修复了一个安全漏洞。

Metabase 是一款开源的业务智能（BI）工具，可以帮助你把数据库中的数据以可视化的方式呈现给更多人，让他们自己探索数据并发现洞察。Metabase在多个版本中存在远程代码执行漏洞。未经授权的攻击者可以在服务器上执行任意指令，进而控制服务器。

1.2 影响范围

Metabase < 0.46.6.1

Metabase Enterprise Edition < 1.46.6.1

Metabase < 0.45.4.1

Metabase Enterprise Edition < 1.45.4.1

Metabase < 0.44.7.1

Metabase Enterprise Edition < 1.44.7.1

Metabase < 0.43.7.2

Metabase Enterprise Edition < 1.43.7.2

1.3 漏洞复现

1.4 修复建议

>> 1.4.1 版本升级

厂商已发布了漏洞修复程序，安全版本如下：

Metabase >= 0.46.6.1

Metabase Enterprise Edition >= 1.46.6.1

Metabase >= 0.45.4.1

Metabase Enterprise Edition >= 1.45.4.1

Metabase >= 0.44.7.1

Metabase Enterprise Edition >= 1.44.7.1

Metabase >= 0.43.7.2

Metabase Enterprise Edition >= 1.43.7.2

官方下载地址：

https://github.com/metabase/metabase/releases

1.5 参考链接

https://github.com/metabase/metabase/releases/tag/v0.46.6.1

文章来源: https://mp.weixin.qq.com/s?__biz=MzIwMjcyNzA5Mw==&mid=2247491380&idx=1&sn=2f40dddc4328508d2b91786d45e8b300&chksm=96db14eea1ac9df856a953e4845a7f53ff87ecd25135280183d097f26654d15d852c02a03e82&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh