PT-2022-16929 · Metabase · Metabase
Bananabr
·
Publicado
2022-04-14
·
Atualizado
2022-04-22
·
CVE-2022-24855
CVSS v3.1
8.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Metabase anteriores à 0.40.8 e à 1.40.8
Versões do Metabase anteriores à 0.41.7 e à 1.41.7
Versões do Metabase anteriores à 0.42.4 e à 1.42.4
Descrição
O Metabase é um aplicativo de inteligência de negócios e análise de código aberto. Nas versões afetadas, o Metabase vem com um endpoint de desenvolvimento interno
/ internal que pode permitir ataques de cross-site scripting (XSS), levando potencialmente a tentativas de phishing com links maliciosos que podem resultar no comprometimento de contas.Recomendações
Para versões do Metabase anteriores à 0.40.8 e 1.40.8, atualize para a versão 0.40.8 ou 1.40.8 ou bloqueie o acesso em seu firewall aos endpoints
/ internal.Para versões do Metabase anteriores à 0.41.7 e 1.41.7, atualize para a versão 0.41.7 ou 1.41.7 ou bloqueie o acesso em seu firewall aos endpoints
/ internal.Para versões do Metabase anteriores à 0.42.4 e 1.42.4, atualize para a versão 0.42.4 ou 1.42.4 ou bloqueie o acesso em seu firewall aos endpoints
/ internal.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Metabase