本文共 537 字，大约阅读时间需要 1 分钟。

Metabase 数据分析工具安全漏洞分析

产品简介

Metabase 是一款开源的数据分析与可视化工具，旨在为用户提供灵活的数据连接能力和直观的数据可视化体验。作为一个功能强大的数据平台，它支持多种数据源，包括本地数据库、云服务和第三方API。

安全漏洞概述

近期研究发现，Metabase 存在严重的安全漏洞（CVE-2022-0012）。该漏洞允许未经身份认证的远程攻击者利用漏洞，通过服务器上以Metabase服务器权限运行任意命令，造成严重的安全隐患。

值得注意的是，修复该漏洞的版本需要在完成安装后应用，否则即便已经更新了软件，漏洞仍可能被攻击者利用。

影响范围

以下版本已知存在此漏洞：

• Metabase Open Source

  • 0.46 < 0.46.6.1

  • 0.45 < 0.45.4.1

  • 0.44 < 0.44.7.1

  • 0.43 < 0.43.7.2

• Metabase Enterprise

  • 1.46 < 1.46.6.1

  • 1.45 < 1.45.4.1

  • 1.44 < 1.44.7.1

  • 1.43 < 1.43.7.2

建议用户及时检查并更新至安全版本。

复现环境

该漏洞已在FOFA平台上被确认，相关信息如下：

• FOFA: app="Metabase"