Plateforme
java
Composant
metabase
Corrigé dans
1.54.23
1.55.1
1.56.1
1.57.1
1.58.1
1.59.1
CVE-2026-33725 est une vulnérabilité d'exécution de code à distance (RCE) affectant Metabase Enterprise. Un administrateur authentifié peut exploiter cette faille pour exécuter du code arbitraire sur le serveur via le point de terminaison /api/ee/serialization/import. Les versions affectées sont les versions inférieures ou égales à 1.59.0 et antérieures à 1.59.4. La vulnérabilité est corrigée dans la version 1.59.4.
La vulnérabilité CVE-2026-33725 affecte Metabase Enterprise versions antérieures à 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 et 1.59.4. Cette vulnérabilité permet aux administrateurs authentifiés dans l'édition Enterprise d'obtenir une Exécution de Code à Distance (RCE) et une Lecture Arbitraire de Fichiers. L'attaque est effectuée via le point de terminaison /api/ee/serialization/import en injectant une propriété INIT dans la spécification JDBC H2. Cette injection peut exécuter du code SQL arbitraire lors d'une synchronisation de la base de données, compromettant l'intégrité et la confidentialité des données. Le score CVSS pour cette vulnérabilité est de 7.2, ce qui indique un risque important.
Un attaquant disposant de privilèges d'administrateur dans Metabase Enterprise peut exploiter cette vulnérabilité en créant un fichier de sérialisation malveillant contenant une propriété INIT spécialement conçue. L'importation de ce fichier via le point de terminaison /api/ee/serialization/import permet à l'attaquant d'injecter et d'exécuter du code SQL arbitraire dans la base de données. Cela peut permettre à l'attaquant de lire des données sensibles, de modifier des données ou même de prendre le contrôle du serveur de base de données. L'exploitation nécessite une authentification en tant qu'administrateur, ce qui limite la portée de l'attaque, mais représente toujours un risque important pour les organisations utilisant Metabase Enterprise.
Organizations utilizing Metabase Enterprise for business intelligence and analytics are at risk. Specifically, deployments with lax access controls for administrator accounts or those relying on legacy configurations without robust input validation are particularly vulnerable. Shared hosting environments running Metabase Enterprise also present a heightened risk due to potential cross-tenant exploitation.
• linux / server: Monitor Metabase logs for unusual database sync activity or SQL execution attempts. Use journalctl -u metabase to filter for relevant log entries.
journalctl -u metabase | grep "INIT property" • java: Examine Metabase's internal database logs (H2) for suspicious SQL queries originating from serialization imports.
• generic web: Monitor access logs for requests to /api/ee/serialization/import with unusual or large POST data payloads.
grep -i "/api/ee/serialization/import" access.logdisclosure
patch
Statut de l'Exploit
EPSS
0.35% (percentile 57%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à niveau Metabase Enterprise vers la version 1.59.4 ou supérieure. Cette version inclut une correction pour la vulnérabilité. Si une mise à niveau immédiate n'est pas possible, restreignez l'accès au point de terminaison /api/ee/serialization/import aux utilisateurs de confiance et surveillez activement les journaux du système à la recherche d'activités suspectes. Il est également essentiel de mettre en œuvre une politique du moindre privilège, garantissant que les administrateurs n'ont que les autorisations nécessaires pour effectuer leurs tâches. L'application de ces mesures d'atténuation peut aider à réduire le risque d'exploitation jusqu'à ce que la mise à niveau puisse être effectuée.
Actualice Metabase Enterprise a la versión 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 o 1.59.4 o superior. Como alternativa, deshabilite el endpoint de importación de serialización en su instancia de Metabase para evitar el acceso a las rutas de código vulnerables.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Metabase est un outil d'intelligence d'affaires et d'analyse intégrée open source.
Cette mise à jour corrige une vulnérabilité d'exécution de code à distance qui pourrait permettre à un attaquant de compromettre votre système.
Restreignez l'accès au point de terminaison /api/ee/serialization/import et surveillez les journaux du système.
Mettez en œuvre une politique du moindre privilège et assurez-vous que les administrateurs n'ont que les autorisations nécessaires.
Consultez la documentation officielle de Metabase et les notes de publication de la mise à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.