CVE-2021-41277

Versões do Metabase anteriores à 0.40.5

Versões do Metabase anteriores à 1.40.5

Foi detectada uma falha de segurança no Metabase, uma plataforma de análise de dados de código aberto, relacionada ao suporte a mapas GeoJSON personalizados e à possível inclusão de arquivos locais, incluindo variáveis de ambiente. A vulnerabilidade surge porque as URLs não eram validadas antes de serem carregadas. Isso pode ser explorado por meio do endpoint /api/geojson, manipulando o parâmetro url, por exemplo, GET /api/geojson?url=file:/etc/passwd HTTP/1.1. A vulnerabilidade foi corrigida nas versões de manutenção 0.40.5 e 1.40.5, bem como em todas as versões subsequentes.

Para versões anteriores à 0.40.5, atualize para a versão 0.40.5 ou posterior.

Para versões anteriores à 1.40.5, atualize para a versão 1.40.5 ou posterior.

Como solução alternativa temporária, considere incluir regras em seu proxy reverso, balanceador de carga ou WAF para fornecer um filtro de validação antes do aplicativo.