欢迎user
新华三盾山实验室
2023/07/31
Metabase是一种开源的商业智能(BI)工具,提供数据探索、查询和可视化的功能。通过使用SQL语句或直观的图形界面进行数据查询和分析,基于Web进行操作,具有自动化报表、审计跟踪、权限管理等功能。近日,新华三盾山实验室监测到Metabase官方发布了安全公告,修复了一个存在于Metabase中的远程代码执行漏洞(CVE-2023-38646),攻击者利用该漏洞可在目标服务器上执行任意代码。
由于Metabase存在远程代码执行漏洞,未经身份验证的恶意攻击者成功利用此漏洞可在目标服务器上执行任意代码,获取目标服务器的控制权限。
构造特殊请求包获取token
通过获取的token构造恶意请求,执行任意命令
Metabase open source 0.46 < 0.46.6.1
Metabase Enterprise 1.46 < 1.46.6.1
Metabase open source 0.45 < v0.45.4.1
Metabase Enterprise 1.45 < 1.45.4.1
Metabase open source 0.44 < 0.44.7.1
Metabase Enterprise 1.44 < 1.44.7.1
Metabase open source 0.43 < 0.43.7.2
Metabase Enterprise 1.43 < 1.43.7.2
威胁等级 | 严重 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 中等 |
漏洞评分 | 9.4 |
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://github.com/metabase/metabase/releases
1、新华三安全设备防护方案
新华三IPS规则库将在1.0.244版本支持对该漏洞的识别,新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。
2、新华三态势感知解决方案
新华三态势感知已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。