More

    Potrebno hitno ažuriranje: u softveru Metabase BI otkriven najveći sigurnosni propust

    Korisnicima Metabase, popularnog softverskog paketa za poslovnu inteligenciju i vizualizaciju podataka, savjetuje se da ažuriraju na najnoviju verziju nakon otkrivanja “izuzetno ozbiljne” greške koja bi mogla rezultirati izvršenjem prethodno autentifikovanog udaljenog koda na pogođenim instalacijama.

    Praćen kao CVE-2023-38646, problem utiče na izdanja otvorenog koda pre 0.46.6.1 i Metabase Enterprise verzije pre 1.46.6.1.

    “Napadač bez autentifikacije može pokrenuti proizvoljne komande sa istim privilegijama kao i Metabase server na serveru na kojem pokrećete Metabase”, navodi Metabase u upozorenju objavljenom prošle sedmice.

    Problem je također riješen u sljedećim starijim verzijama:

    • 0.45.4.1 i 1.45.4.1
    • 0.44.7.1 i 1.44.7.1, i
    • 0.43.7.2 i 1.43.7.2

    Iako nema dokaza da je problem iskorištavan u divljini, podaci koje je prikupila Shadowserver Foundation pokazuju da je 5.488 od ukupno 6.936 metabaza instanci ranjivo od 26. jula 2023. godine. Većina slučajeva se nalazi u SAD-u, Indija, Njemačka, Francuska, Velika Britanija, Brazil i Australija.

    Assetnote, koji je tvrdio da je otkrio i prijavio grešku Metabaseu, kaže da je ranjivost posljedica problema s JDBC vezom u krajnjoj tački API-ja “/api/setup/validate”, omogućavajući malicioznom hakeru da dobije obrnutu ljusku na sistemu putem posebno kreiranog zahtjeva koji koristi prednost greške SQL injekcije u drajveru baze podataka H2.

    Korisnicima koji ne mogu odmah primijeniti zakrpe preporučuje se da blokiraju zahtjeve do /api/setup krajnje tačke, izoluju instancu Metabase iz vaše proizvodne mreže i nadgledaju sumnjive zahtjeve do dotične krajnje tačke.

    Izvor: The Hacker News

    Recent Articles

    spot_img

    Related Stories