Metabase任意文件读取漏洞(CVE-2021-41277)通告
漏洞概述
近日,WebRAY安全服务部监测到公网出现Metabase任意文件读取漏洞,漏洞编号为CVE-2021-41277。Metabase是一个开源数据分析平台,在低于0.40.5版本和高于1.0.0低于1.40.5的版本中,自定义GeoJSON地图(' admin->settings->maps->custom maps->add a map ')存在本地文件包含(包括环境变量)漏洞。由于存在缺陷,url在加载之前没有经过验证,攻击者利用该漏洞能够读取任意文件。
Metabase是一种简单的开源方式,可供公司中的每个人提问和从数据中学习。安装方便快捷,没有SQL障碍的探索,适用于许多不同的数据库。
WebRAY安全服务部也将持续关注该漏洞进展,第一时间为您更新该漏洞信息。
影响范围
Metabase <0.40.5
Metabase >=1.0.0&<1.40.5
漏洞等级
WebRAY安全服务部风险评级:高危
修复建议
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。
Metabase >=0.40.5
Metabase >=1.40.5
下载地址:
https://github.com/metabase/metabase
参考链接
[1] https://cert.360.cn/warning/detail?id=4e91ec57fae283fe96231705aa50d221
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41277
[3] https://nosec.org/home/detail/4909.html
