Site icon Kiber.ba

Potrebno hitno ažuriranje: u softveru Metabase BI otkriven najveći sigurnosni propust

Major Security Flaw Discovered in Metabase BI Software – Urgent Update Required - Kiber.ba

Major Security Flaw Discovered in Metabase BI Software – Urgent Update Required - Kiber.ba

Korisnicima Metabase, popularnog softverskog paketa za poslovnu inteligenciju i vizualizaciju podataka, savjetuje se da ažuriraju na najnoviju verziju nakon otkrivanja “izuzetno ozbiljne” greške koja bi mogla rezultirati izvršenjem prethodno autentifikovanog udaljenog koda na pogođenim instalacijama.

Praćen kao CVE-2023-38646, problem utiče na izdanja otvorenog koda pre 0.46.6.1 i Metabase Enterprise verzije pre 1.46.6.1.

“Napadač bez autentifikacije može pokrenuti proizvoljne komande sa istim privilegijama kao i Metabase server na serveru na kojem pokrećete Metabase”, navodi Metabase u upozorenju objavljenom prošle sedmice.

Problem je također riješen u sljedećim starijim verzijama:

Iako nema dokaza da je problem iskorištavan u divljini, podaci koje je prikupila Shadowserver Foundation pokazuju da je 5.488 od ukupno 6.936 metabaza instanci ranjivo od 26. jula 2023. godine. Većina slučajeva se nalazi u SAD-u, Indija, Njemačka, Francuska, Velika Britanija, Brazil i Australija.

Assetnote, koji je tvrdio da je otkrio i prijavio grešku Metabaseu, kaže da je ranjivost posljedica problema s JDBC vezom u krajnjoj tački API-ja “/api/setup/validate”, omogućavajući malicioznom hakeru da dobije obrnutu ljusku na sistemu putem posebno kreiranog zahtjeva koji koristi prednost greške SQL injekcije u drajveru baze podataka H2.

Korisnicima koji ne mogu odmah primijeniti zakrpe preporučuje se da blokiraju zahtjeve do /api/setup krajnje tačke, izoluju instancu Metabase iz vaše proizvodne mreže i nadgledaju sumnjive zahtjeve do dotične krajnje tačke.

Izvor: The Hacker News

Exit mobile version