PT-2022-24929 · Metabase · Metabase
Abrahack
·
Publicado
2022-10-26
·
Atualizado
2022-10-28
·
CVE-2022-39361
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Metabase anteriores às 0.41.9, 0.42.6, 0.43.7, 0.44.5, 1.41.9, 1.42.6, 1.43.7 e 1.44.5
Descrição
A vulnerabilidade permite a execução remota de código (RCE) no Metabase, um software de visualização de dados, quando os usuários podem escrever consultas SQL em bancos de dados H2. Isso pode ser explorado por usuários com capacidade para executar consultas SQL. O Metabase corrigiu essa vulnerabilidade ao deixar de permitir instruções DDL em consultas nativas do H2.
Recomendações
Para versões anteriores à 0.41.9, atualize para a versão 0.41.9 ou posterior.
Para versões anteriores à 0.42.6, atualize para a versão 0.42.6 ou posterior.
Para versões anteriores à 0.43.7, atualize para a versão 0.43.7 ou posterior.
Para versões anteriores à 0.44.5, atualize para a versão 0.44.5 ou posterior.
Para versões anteriores à 1.41.9, atualize para a versão 1.41.9 ou posterior.
Para versões anteriores à 1.42.6, atualize para a versão 1.42.6 ou posterior.
Para versões anteriores à 1.43.7, atualize para a versão 1.43.7 ou posterior.
Para versões anteriores à 1.44.5, atualize para a versão 1.44.5 ou posterior.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Metabase