Plataforma
java
Componente
metabase
Corregido en
0.57.14
0.58.1
La vulnerabilidad CVE-2026-27464 es una falla de Ejecución Remota de Código (RCE) que afecta a Metabase, una plataforma de análisis de datos de código abierto. Esta falla permite a usuarios autenticados extraer información sensible, incluyendo credenciales de acceso a bases de datos, a través de la evaluación de plantillas. Las versiones afectadas son las anteriores a 0.57.13 y las versiones 0.58.x hasta la 0.58.6. Se ha solucionado en la versión 0.58.7.
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos subyacente de Metabase. Esto implica la posibilidad de robar datos confidenciales, modificar información crítica o incluso tomar control completo del sistema. La extracción de credenciales de la base de datos permitiría al atacante acceder a información sensible almacenada en la base de datos, como datos de usuarios, información financiera o datos de negocio. La capacidad de extraer esta información a través de la evaluación de plantillas, incluso con privilegios limitados, amplía significativamente la superficie de ataque y facilita la explotación.
Esta vulnerabilidad fue publicada el 2026-02-21. No se ha reportado su inclusión en el KEV de CISA. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad (RCE) y la facilidad de extracción de credenciales la convierten en un objetivo potencial para actores maliciosos. La vulnerabilidad se basa en la evaluación de plantillas, un patrón de ataque similar a otros casos de explotación de plantillas en diferentes plataformas.
Organizations utilizing Metabase for data analytics, particularly those connecting to sensitive databases containing customer data or financial information, are at significant risk. Shared hosting environments where multiple Metabase instances share the same database server are especially vulnerable, as a compromise of one instance could potentially expose the credentials for all instances on that server. Legacy Metabase deployments running older, unpatched versions are also highly susceptible.
• linux / server:
journalctl -u metabase | grep -i "template evaluation"• generic web:
curl -I https://<metabase_url>/notifications/email | grep -i "database credentials"• database (mysql, postgresql):
-- MySQL
SELECT user, host FROM mysql.user;
-- PostgreSQL
SELECT usename, pg_hba_password(usename) FROM pg_user;disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Metabase a la versión 0.58.7 o posterior. Si la actualización no es inmediatamente posible, una mitigación temporal es deshabilitar las notificaciones en la instancia de Metabase. Esto impide que los usuarios puedan acceder al endpoint vulnerable que permite la extracción de credenciales. Además, se recomienda revisar y fortalecer las políticas de acceso a la base de datos para limitar el impacto potencial de una posible explotación. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las notificaciones no puedan ser utilizadas para extraer información sensible.
Actualice Metabase a la versión 0.57.13 o superior, o a la versión 0.58.7 o superior. Como alternativa, deshabilite las notificaciones en su instancia de Metabase para evitar el acceso a los endpoints vulnerables.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27464 is a Remote Code Execution vulnerability affecting Metabase versions prior to 0.57.13 and 0.58.x through 0.58.6, allowing authenticated users to extract sensitive data like database credentials.
You are affected if you are running Metabase versions ≤ 0.58.x, < 0.58.7. Check your version and upgrade immediately if vulnerable.
Upgrade Metabase to version 0.58.7 or later. As a temporary workaround, disable notifications in your Metabase instance.
While no widespread exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a potential risk. Continuous monitoring is recommended.
Refer to the official Metabase security advisory for details: [https://www.metabase.com/security/advisories/CVE-2026-27464](https://www.metabase.com/security/advisories/CVE-2026-27464)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.