CVE-2022-39359

Versões do Metabase anteriores às 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 e 1.41.9

O problema diz respeito ao Metabase, um software de visualização de dados. Nas versões afetadas, um endereço URL de mapa GeoJSON personalizado seguiria redirecionamentos para endereços que, de outra forma, seriam proibidos, como endereços de rede local ou de rede privada. Isso foi corrigido, e o Metabase não segue mais redirecionamentos em URLs de mapas GeoJSON. Uma variável de ambiente MB CUSTOM GEOJSON ENABLED foi adicionada para desativar completamente o GeoJSON personalizado, com true como configuração padrão.

Para versões anteriores a 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 e 1.41.9, atualize para a versão 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 ou 1.41.9 para resolver o problema.

Como solução alternativa temporária, considere definir a variável de ambiente MB CUSTOM GEOJSON ENABLED como false para desativar completamente o GeoJSON personalizado até que um patch seja aplicado.