anonhaven

CVE-2026-33725

HIGH CVSS 3.1: 7,2 EPSS 0.16%
Обновлено 30 марта 2026
Metabase
Параметр Значение
CVSS 7,2 (HIGH)
Тип уязвимости CWE-502 (Десериализация недоверенных данных)
Поставщик Metabase
Публичный эксплойт Нет

Metabase — это инструмент бизнес-аналитики и встроенной аналитики с открытым исходным кодом. В Metabase Enterprise до версий 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 и 1.59.4 аутентифицированные администраторы Metabase Enterprise Edition могут осуществлять удаленное выполнение кода (RCE) и чтение произвольных файлов через конечную точку POST /api/ee/serialization/import. Созданный архив сериализации добавляет свойство INIT в спецификацию JDBC H2, которое может выполнять произвольный SQL во время синхронизации базы данных. Мы подтвердили, что это возможно в Metabase Cloud.

Это влияет только на Metabase Enterprise. В Metabase OSS отсутствуют затронутые кодовые пути. Затрагиваются все версии Metabase Enterprise, имеющие сериализацию, начиная с версии не ниже 1.47.

Версии Metabase Enterprise 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 и 1.59.4 устраняют проблему. В качестве обходного пути отключите конечную точку импорта сериализации в экземпляре метабазы, чтобы предотвратить доступ к уязвимым путям кода.

Показать оригинальное описание (EN)

Metabase is an open source business intelligence and embedded analytics tool. In Metabase Enterprise prior to versions 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10, and 1.59.4, authenticated admins on Metabase Enterprise Edition can achieve Remote Code Execution (RCE) and Arbitrary File Read via the `POST /api/ee/serialization/import` endpoint. A crafted serialization archive injects an `INIT` property into the H2 JDBC spec, which can execute arbitrary SQL during a database sync. We confirmed this was possible on Metabase Cloud. This only affects Metabase Enterprise. Metabase OSS lacks the affected codepaths. All versions of Metabase Enterprise that have serialization, which dates back to at least version 1.47, are affected. Metabase Enterprise versions 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10, and 1.59.4 patch the issue. As a workaround, disable the serialization import endpoint in their Metabase instance to prevent access to the vulnerable codepaths.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-502 Deserialization of Untrusted Data (Десериализация недоверенных данных)

Ссылки 1

https://github.com/metabase/metabase/security/advisories/GHSA-fppj-vcm3-w229
security-advisories@github.com
Share Post Share Share Share