Falha de Segurança Importante Descoberta no Software Metabase BI – Atualização Urgente Necessária
28 de Julho de 2023

Os usuários do Metabase, um popular pacote de software de inteligência de negócios e visualização de dados, estão sendo aconselhados a atualizar para a versão mais recente após a descoberta de uma falha "extremamente grave" que pode resultar na execução de código remoto pré-autenticado em instalações afetadas.

Identificado como CVE-2023-38646 , o problema afeta as edições de código aberto anteriores a 0.46.6.1 e versões do Metabase Enterprise antes de 1.46.6.1.

"Um invasor não autenticado pode executar comandos arbitrários com os mesmos privilégios que o servidor Metabase no servidor em que você está executando o Metabase", disse a Metabase em um aviso divulgado na semana passada.

O problema também foi resolvido nas seguintes versões mais antigas -

0.45.4.1 e 1.45.4.1
0.44.7.1 e 1.44.7.1 e
0.43.7.2 e 1.43.7.2

Embora não haja evidências de que o problema tenha sido explorado, os dados coletados pela Shadowserver Foundation mostram que 5.488 das 6.936 instâncias do Metabase são vulneráveis até 26 de julho de 2023.

A maioria das instâncias está localizada nos EUA, Índia, Alemanha, França, Reino Unido, Brasil e Austrália.

A Assetnote, que afirmou ter descoberto e relatado o bug ao Metabase, disse que a vulnerabilidade se deve a um problema de conexão JDBC no ponto de extremidade da API "/api/setup/validate", permitindo que um invasor mal-intencionado obtenha um shell reverso no sistema por meio de um pedido especialmente formulado que tira vantagem de uma falha de injeção SQL no driver de banco de dados H2.

Os usuários que não podem aplicar os patches imediatamente são recomendados a bloquear solicitações para o endpoint /api/setup, isolar a instância do Metabase de sua rede de produção e monitorar solicitações suspeitas ao endpoint em questão.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...