Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-37470

Опубликовано: 04 авг. 2023
Источник: nvd
CVSS3: 10
CVSS3: 9.8
EPSS Низкий

Описание

Metabase is an open-source business intelligence and analytics platform. Prior to versions 0.43.7.3, 0.44.7.3, 0.45.4.3, 0.46.6.4, 1.43.7.3, 1.44.7.3, 1.45.4.3, and 1.46.6.4, a vulnerability could potentially allow remote code execution on one's Metabase server. The core issue is that one of the supported data warehouses (an embedded in-memory database H2), exposes a number of ways for a connection string to include code that is then executed by the process running the embedded database. Because Metabase allows users to connect to databases, this means that a user supplied string can be used to inject executable code. Metabase allows users to validate their connection string before adding a database (including on setup), and this validation API was the primary vector used as it can be called without validation. Versions 0.43.7.3, 0.44.7.3, 0.45.4.3, 0.46.6.4, 1.43.7.3, 1.44.7.3, 1.45.4.3, and 1.46.6.4 fix this issue by removing the ability of users to add H2 databases entirely. As a wo

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:metabase:metabase:*:*:*:*:-:*:*:*
Версия до 0.43.7.3 (исключая)
cpe:2.3:a:metabase:metabase:*:*:*:*:enterprise:*:*:*
Версия до 1.43.7.3 (исключая)
cpe:2.3:a:metabase:metabase:*:*:*:*:-:*:*:*
Версия от 0.44.0 (включая) до 0.44.7.3 (исключая)
cpe:2.3:a:metabase:metabase:*:*:*:*:-:*:*:*
Версия от 0.45.0 (включая) до 0.45.4.3 (исключая)
cpe:2.3:a:metabase:metabase:*:*:*:*:-:*:*:*
Версия от 0.46.0 (включая) до 0.46.6.4 (исключая)
cpe:2.3:a:metabase:metabase:*:*:*:*:enterprise:*:*:*
Версия от 1.44.0 (включая) до 1.44.7.3 (исключая)
cpe:2.3:a:metabase:metabase:*:*:*:*:enterprise:*:*:*
Версия от 1.45.0 (включая) до 1.45.4.3 (исключая)
cpe:2.3:a:metabase:metabase:*:*:*:*:enterprise:*:*:*
Версия от 1.46.0 (включая) до 1.46.6.4 (исключая)

EPSS

Процентиль: 87%
0.03351
Низкий

10 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-94
CWE-94

Связанные уязвимости

fstec логотип

BDU:2023-05679

CVSS3: 9.8
fstec
больше 2 лет назад

Уязвимость программного средства визуализации данных и создания отчетов Metabase, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 87%
0.03351
Низкий

10 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-94
CWE-94