Os usuários do Metabase, um popular pacote de software de inteligência de negócios e visualização de dados, estão sendo aconselhados a atualizar para a versão mais recente após a descoberta de uma falha "extremamente grave" que pode resultar na execução de código remoto pré-autenticado em instalações afetadas.
Identificado como
CVE-2023-38646
, o problema afeta as edições de código aberto anteriores a 0.46.6.1 e versões do Metabase Enterprise antes de 1.46.6.1.
"Um invasor não autenticado pode executar comandos arbitrários com os mesmos privilégios que o servidor Metabase no servidor em que você está executando o Metabase", disse a Metabase em um aviso divulgado na semana passada.
O problema também foi resolvido nas seguintes versões mais antigas -
0.45.4.1 e 1.45.4.1
0.44.7.1 e 1.44.7.1 e
0.43.7.2 e 1.43.7.2
Embora não haja evidências de que o problema tenha sido explorado, os dados coletados pela Shadowserver Foundation mostram que 5.488 das 6.936 instâncias do Metabase são vulneráveis até 26 de julho de 2023.
A maioria das instâncias está localizada nos EUA, Índia, Alemanha, França, Reino Unido, Brasil e Austrália.
A Assetnote, que afirmou ter descoberto e relatado o bug ao Metabase, disse que a vulnerabilidade se deve a um problema de conexão JDBC no ponto de extremidade da API "/api/setup/validate", permitindo que um invasor mal-intencionado obtenha um shell reverso no sistema por meio de um pedido especialmente formulado que tira vantagem de uma falha de injeção SQL no driver de banco de dados H2.
Os usuários que não podem aplicar os patches imediatamente são recomendados a bloquear solicitações para o endpoint /api/setup, isolar a instância do Metabase de sua rede de produção e monitorar solicitações suspeitas ao endpoint em questão.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...