PT-2022-16927 · Metabase · Metabase
Secure77
·
Publicado
2022-04-14
·
Atualizado
2022-04-22
·
CVE-2022-24853
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Metabase anteriores à 0.40.8
Versões do Metabase anteriores à 0.41.7
Versões do Metabase anteriores à 0.42.4
Versões do Metabase anteriores à 1.40.8
Versões do Metabase anteriores à 1.41.7
Versões do Metabase anteriores à 1.42.4
Descrição
O Metabase é um aplicativo de inteligência de negócios e análise de código aberto. Ele possui um proxy para carregar URLs arbitrárias para mapas JSON como parte de seu suporte a GeoJSON. Embora seja realizada uma validação para impedir o retorno de conteúdos de URLs arbitrárias, uma solicitação especialmente criada poderia resultar em acesso a arquivos no Windows, possibilitando um
ataque de retransmissão NTLM. Isso permite, potencialmente, que um invasor obtenha o hash da senha do sistema.Recomendações
Para versões do Metabase anteriores à 0.40.8, atualize para a versão 0.40.8 ou superior.
Para versões do Metabase anteriores à 0.41.7, atualize para a versão 0.41.7 ou superior.
Para versões do Metabase anteriores à 0.42.4, atualize para a versão 0.42.4 ou superior.
Para versões do Metabase anteriores à 1.40.8, atualize para a versão 1.40.8 ou superior.
Para versões do Metabase anteriores à 1.41.7, atualize para a versão 1.41.7 ou superior.
Para versões do Metabase anteriores à 1.42.4, atualize para a versão 1.42.4 ou superior.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Metabase