Kostenlos scannen
HIGHCVE-2026-33725CVSS 7.2

Metabase anfällig für RCE und Arbitrary File Read über H2 JDBC INIT Injection in EE Serialization Import

Plattform

java

Komponente

metabase

Behoben in

1.54.23

1.55.1

1.56.1

1.57.1

1.58.1

1.59.1

AI Confidence: highNVDEPSS 0.3%Geprüft: Mai 2026
Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2026-33725 is a Remote Code Execution (RCE) vulnerability discovered in Metabase Enterprise, an open-source business intelligence and embedded analytics tool. This flaw allows authenticated administrators to achieve RCE and arbitrary file read through a crafted serialization archive. The vulnerability affects versions of Metabase Enterprise prior to 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10, and 1.59.4. A fix is available in version 1.59.4.

Java / Maven

Erkenne diese CVE in deinem Projekt

Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.

pom.xml hochladenUnterstützte Formate: pom.xml · build.gradle

Auswirkungen und Angriffsszenarien

CVE-2026-33725 betrifft Metabase Enterprise-Versionen vor 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 und 1.59.4. Diese Schwachstelle ermöglicht authentifizierten Administratoren in der Enterprise Edition die Ausführung von Remote Code (RCE) und das beliebige Lesen von Dateien. Der Angriff erfolgt über den Endpunkt /api/ee/serialization/import durch das Injizieren einer INIT-Eigenschaft in die H2 JDBC-Spezifikation. Diese Injektion kann während einer Datenbank-Synchronisation beliebigen SQL-Code ausführen und so die Datenintegrität und -vertraulichkeit gefährden. Der CVSS-Wert für diese Schwachstelle beträgt 7,2, was ein signifikantes Risiko anzeigt.

Ausnutzungskontext

Ein Angreifer mit Administratorrechten in Metabase Enterprise kann diese Schwachstelle ausnutzen, indem er eine bösartige Serialisierungsdatei erstellt, die eine speziell gestaltete INIT-Eigenschaft enthält. Durch das Importieren dieser Datei über den Endpunkt /api/ee/serialization/import kann der Angreifer beliebigen SQL-Code in die Datenbank injizieren und ausführen. Dies kann dem Angreifer ermöglichen, sensible Daten zu lesen, Daten zu ändern oder sogar die Kontrolle über den Datenbankserver zu übernehmen. Die Ausnutzung erfordert eine Authentifizierung als Administrator, was den Umfang des Angriffs einschränkt, aber dennoch ein erhebliches Risiko für Organisationen darstellt, die Metabase Enterprise verwenden.

Wer Ist Gefährdetwird übersetzt…

Organizations utilizing Metabase Enterprise for business intelligence and analytics are at risk. Specifically, deployments with lax access controls for administrator accounts or those relying on legacy configurations without robust input validation are particularly vulnerable. Shared hosting environments running Metabase Enterprise also present a heightened risk due to potential cross-tenant exploitation.

Erkennungsschrittewird übersetzt…

• linux / server: Monitor Metabase logs for unusual database sync activity or SQL execution attempts. Use journalctl -u metabase to filter for relevant log entries.

journalctl -u metabase | grep "INIT property"

• java: Examine Metabase's internal database logs (H2) for suspicious SQL queries originating from serialization imports. • generic web: Monitor access logs for requests to /api/ee/serialization/import with unusual or large POST data payloads.

grep -i "/api/ee/serialization/import" access.log

Angriffszeitlinie

  1. Disclosure

    disclosure

  2. Patch

    patch

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

EPSS

0.35% (57% Perzentil)

CISA SSVC

Ausnutzungnone
Automatisierbarno
Technische Auswirkungtotal

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H7.2HIGHAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredHighErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityHighRisiko nicht autorisierter DatenänderungAvailabilityHighRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Hoch — Administrator- oder Privilegienkonto erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability
Hoch — vollständiger Absturz oder Ressourcenerschöpfung. Totaler Denial of Service.

Betroffene Software

Komponentemetabase
Herstellermetabase
Betroffener BereichBehoben in
< 1.54.22 – < 1.54.221.54.23
>= 1.55.0, < 1.55.22 – >= 1.55.0, < 1.55.221.55.1
>= 1.56.0, < 1.56.22 – >= 1.56.0, < 1.56.221.56.1
>= 1.57.0, < 1.57.16 – >= 1.57.0, < 1.57.161.57.1
>= 1.58.0, < 1.58.10 – >= 1.58.0, < 1.58.101.58.1
>= 1.59.0, < 1.59.4 – >= 1.59.0, < 1.59.41.59.1

Schwachstellen-Klassifikation (CWE)

CWE-502

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert
  4. EPSS aktualisiert

Mitigation und Workarounds

Die empfohlene Lösung ist ein Upgrade von Metabase Enterprise auf Version 1.59.4 oder höher. Diese Version enthält eine Korrektur für die Schwachstelle. Wenn ein sofortiges Upgrade nicht möglich ist, beschränken Sie den Zugriff auf den Endpunkt /api/ee/serialization/import auf vertrauenswürdige Benutzer und überwachen Sie die Systemprotokolle aktiv auf verdächtige Aktivitäten. Es ist auch wichtig, eine Policy der geringsten Privilegien zu implementieren, um sicherzustellen, dass Administratoren nur die erforderlichen Berechtigungen für ihre Aufgaben haben. Die Anwendung dieser Abschwächungsmaßnahmen kann dazu beitragen, das Risiko einer Ausnutzung zu verringern, bis das Upgrade durchgeführt werden kann.

So behebenwird übersetzt…

Actualice Metabase Enterprise a la versión 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 o 1.59.4 o superior. Como alternativa, deshabilite el endpoint de importación de serialización en su instancia de Metabase para evitar el acceso a las rutas de código vulnerables.

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragen

Was ist CVE-2026-33725 — Remote Code Execution (RCE) in Metabase Enterprise?

Metabase ist ein Open-Source-Business-Intelligence- und Embedded-Analytics-Tool.

Bin ich von CVE-2026-33725 in Metabase Enterprise betroffen?

Dieses Update behebt eine Remote-Code-Ausführungs-Schwachstelle, die es einem Angreifer ermöglichen könnte, Ihr System zu kompromittieren.

Wie behebe ich CVE-2026-33725 in Metabase Enterprise?

Beschränken Sie den Zugriff auf den Endpunkt /api/ee/serialization/import und überwachen Sie die Systemprotokolle.

Wird CVE-2026-33725 aktiv ausgenutzt?

Implementieren Sie eine Policy der geringsten Privilegien und stellen Sie sicher, dass Administratoren nur die erforderlichen Berechtigungen haben.

Wo finde ich den offiziellen Metabase Enterprise-Hinweis für CVE-2026-33725?

Konsultieren Sie die offizielle Metabase-Dokumentation und die Versionshinweise des Updates.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen