Ronan Donohue

**Nome do software vulnerável e versões afetadas** Versões do Metabase anteriores às 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 e 1.41.9 **Descrição** O problema diz respeito ao Metabase, um software de visualização de dados. Nas versões afetadas, um endereço URL de mapa GeoJSON personalizado seguiria redirecionamentos para endereços que, de outra forma, seriam proibidos, como endereços de rede local ou de rede privada. Isso foi corrigido, e o Metabase não segue mais redirecionamentos em URLs de mapas GeoJSON. Uma variável de ambiente `MB CUSTOM GEOJSON ENABLED` foi adicionada para desativar completamente o GeoJSON personalizado, com `true` como configuração padrão. **Recomendações** Para versões anteriores a 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 e 1.41.9, atualize para a versão 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 ou 1.41.9 para resolver o problema. Como solução alternativa temporária, considere definir a variável de ambiente `MB CUSTOM GEOJSON ENABLED` como `false` para desativar completamente o GeoJSON personalizado até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Metabase anteriores à 44.5 **Descrição** O problema diz respeito ao parâmetro `url` do endpoint “/api/geojson”, que pode ser explorado para realizar ataques de falsificação de solicitação do lado do servidor (Server Side Request Forgery). Observa-se que as listas de bloqueio implementadas anteriormente poderiam ser contornadas por meio de redirecionamentos 301 e 302. **Recomendações** Para versões anteriores à 44.5, atualize para a versão 44.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/api/geojson” até que a atualização seja aplicada. Evite usar o parâmetro `url` no endpoint afetado até que o problema seja resolvido.