Vermsec

**Nome do software vulnerável e versões afetadas** Versões do Metabase anteriores à 0.40.5 Versões do Metabase anteriores à 1.40.5 **Descrição** Foi detectada uma falha de segurança no Metabase, uma plataforma de análise de dados de código aberto, relacionada ao suporte a mapas GeoJSON personalizados e à possível inclusão de arquivos locais, incluindo variáveis de ambiente. A vulnerabilidade surge porque as URLs não eram validadas antes de serem carregadas. Isso pode ser explorado por meio do endpoint `/api/geojson`, manipulando o parâmetro `url`, por exemplo, `GET /api/geojson?url=file:/etc/passwd HTTP/1.1`. A vulnerabilidade foi corrigida nas versões de manutenção 0.40.5 e 1.40.5, bem como em todas as versões subsequentes. **Recomendações** Para versões anteriores à 0.40.5, atualize para a versão 0.40.5 ou posterior. Para versões anteriores à 1.40.5, atualize para a versão 1.40.5 ou posterior. Como solução alternativa temporária, considere incluir regras em seu proxy reverso, balanceador de carga ou WAF para fornecer um filtro de validação antes do aplicativo.