CVE-2026-33725

Name of the Vulnerable Software and Affected Versions Metabase Enterprise versões 1.47 até 1.54.21 Metabase Enterprise versões 1.55.0 até 1.55.21 Metabase Enterprise versões 1.56.0 até 1.56.21 Metabase Enterprise versões 1.57.0 até 1.57.15 Metabase Enterprise versões 1.58.0 até 1.58.9 Metabase Enterprise versões 1.59.0 até 1.59.3

Description Administradores autenticados podem alcançar a Execução Remota de Código (RCE) e a Leitura Arbitrária de Arquivos. Isso ocorre através do endpoint 'POST /api/ee/serialization/import' quando um arquivo de serialização manipulado injeta uma propriedade INIT na especificação H2 JDBC, permitindo a execução de SQL arbitrário durante uma sincronização de banco de dados. Este problema afeta especificamente a Edição Enterprise e foi confirmado no Metabase Cloud.

Recommendations Atualizar para a versão 1.54.22 Atualizar para a versão 1.55.22 Atualizar para a versão 1.56.22 Atualizar para a versão 1.57.16 Atualizar para a versão 1.58.10 Atualizar para a versão 1.59.4 Como solução alternativa temporária, desabilite o endpoint de importação de serialização para evitar o acesso aos caminhos de código afetados.