Korisnicima Metabase, popularnog softverskog paketa za poslovnu inteligenciju i vizualizaciju podataka, savjetuje se da ažuriraju na najnoviju verziju nakon otkrivanja “izuzetno ozbiljne” greške koja bi mogla rezultirati izvršenjem prethodno autentifikovanog udaljenog koda na pogođenim instalacijama.
Praćen kao CVE-2023-38646, problem utiče na izdanja otvorenog koda pre 0.46.6.1 i Metabase Enterprise verzije pre 1.46.6.1.
“Napadač bez autentifikacije može pokrenuti proizvoljne komande sa istim privilegijama kao i Metabase server na serveru na kojem pokrećete Metabase”, navodi Metabase u upozorenju objavljenom prošle sedmice.
Problem je također riješen u sljedećim starijim verzijama:
- 0.45.4.1 i 1.45.4.1
- 0.44.7.1 i 1.44.7.1, i
- 0.43.7.2 i 1.43.7.2
Iako nema dokaza da je problem iskorištavan u divljini, podaci koje je prikupila Shadowserver Foundation pokazuju da je 5.488 od ukupno 6.936 metabaza instanci ranjivo od 26. jula 2023. godine. Većina slučajeva se nalazi u SAD-u, Indija, Njemačka, Francuska, Velika Britanija, Brazil i Australija.
Assetnote, koji je tvrdio da je otkrio i prijavio grešku Metabaseu, kaže da je ranjivost posljedica problema s JDBC vezom u krajnjoj tački API-ja “/api/setup/validate”, omogućavajući malicioznom hakeru da dobije obrnutu ljusku na sistemu putem posebno kreiranog zahtjeva koji koristi prednost greške SQL injekcije u drajveru baze podataka H2.
Korisnicima koji ne mogu odmah primijeniti zakrpe preporučuje se da blokiraju zahtjeve do /api/setup krajnje tačke, izoluju instancu Metabase iz vaše proizvodne mreže i nadgledaju sumnjive zahtjeve do dotične krajnje tačke.
Izvor: The Hacker News