[Critique] Vulnérabilité d'exécution de code à distance dans la métabase basée sur le moteur H2

Description de la vulnérabilité

Metabase est un outil open source d'analyse et de visualisation de données.

La métabase est toujours affectée par l'injection de commande en raison d'un correctif incomplet pour CVE-2023-38646 (suppression du script INIT de la chaîne de connexion H2 JDBC pour empêcher l'injection de commande). Un attaquant peut utiliser H2 comme moteur de base de données, envoyer une chaîne URI JDBC construite de manière malveillante via le point de terminaison /api/setup/validate et exécuter des commandes arbitraires à distance sans charger le script INIT.

Nom de la vulnérabilité	Vulnérabilité d'exécution de code à distance de la métabase basée sur le moteur H2
Type de vulnérabilité	injection de code
L'heure de la découverte	2023/7/31
Étendue de la vulnérabilité	large
Numéro MPS	MPS-s5nj-29cx
Numéro CVE	CVE-2023-37470
Numéro CNVD	-

Sphère d'influence

Métabase@[0.46.6, 0.46.6.4)

Métabase@[0.45.4, 0.45.4.3)

Métabase@[0.44.7, 0.44.7.3)

Métabase@[0.43.7, 0.43.7.3)

Metabase Enterprise Edition@[1.46.6, 1.46.6.4)

Metabase Enterprise Edition@[1.45.4, 1.45.4.3)

Metabase Enterprise Edition@[1.44.7, 1.44.7.3)

Metabase Enterprise Edition@[1.43.7, 1.43.7.3)

Programme de réparation

Mettre à niveau la métabase vers 0.46.6.4, 0.45.4.3, 0.44.7.3, 0.43.7.3 et supérieur

Désactiver l'accès réseau aux terminaux /api/setup/validate, /api/database, /api/database/:id

Mettre à niveau Metabase Enterprise Edition vers 0.46.6.4, 0.45.4.3, 0.44.7.3, 0.43.7.3 et supérieur

lien de référence

OSCS | Communauté de sécurité de la chaîne d'approvisionnement des logiciels open source | Rendre chaque projet open source plus sûr

NVD-CVE-2023-37470

Empêcher les propriétés de chaîne de connexion H2 malveillantes (#32733) · metabase/metabase@11c3567 · GitHub

https://github.com/metabase/metabase/pull/32733

https://github.com/metabase/metabase/security/advisories/GHSA-p7w3-9m58-rq83

À propos de Murphy Security 

Murphy Security est une société technologique qui vous fournit un logiciel professionnel de gestion de la sécurité de la chaîne d'approvisionnement. L'équipe principale provient de Baidu, Huawei, Wuyun et d'autres entreprises. La société fournit aux clients une plate-forme complète de gestion de la sécurité de la chaîne d'approvisionnement logicielle et fournit des logiciels avec un cycle de vie complet autour de la gestion de la sécurité SBOM, les capacités de la plate-forme incluent l'analyse des composants logiciels, la gestion de la sécurité des sources, la détection d'images de conteneurs, l'alerte précoce en matière de vulnérabilité et l'évaluation de l'accès à la chaîne d'approvisionnement des logiciels commerciaux et d'autres produits. Fournissez aux clients des capacités de contrôle complètes depuis la gestion de l'identification des actifs de la chaîne d'approvisionnement, la détection des risques, le contrôle de la sécurité et la réparation à clé unique.

Projet open source : GitHub - murphysecurity/murphysec : un outil open source axé sur la sécurité de la chaîne d'approvisionnement logicielle. Murphy Security se concentre sur la sécurité de la chaîne d'approvisionnement logicielle, avec une analyse professionnelle des composants logiciels (SCA), la détection des vulnérabilités et une base de données professionnelle sur les vulnérabilités.

Le produit peut être intégré à divers outils dans le processus de développement existant à un coût très faible, y compris une intégration transparente avec des dizaines d'outils tels que IDE, Gitlab, Bitbucket, Jenkins, Harbor et Nexus.

Outil de détection de sécurité de code gratuit :  Murphy Security | Vous fournir un logiciel professionnel de gestion de la sécurité de la chaîne d'approvisionnement
Abonnement gratuit aux informations : https://www.oscs1024.com/cm/?sf=qbyj