Metabase EE सीरियलाइजेशन इम्पोर्ट में H2 JDBC INIT इंजेक्शन के माध्यम से RCE और मनमाना फ़ाइल पढ़ना

CVE-2026-33725 Metabase Enterprise के 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 और 1.59.4 से पहले के संस्करणों को प्रभावित करता है। यह भेद्यता Enterprise संस्करण में प्रमाणित प्रशासकों को /api/ee/serialization/import एंडपॉइंट के माध्यम से रिमोट कोड निष्पादन (RCE) और मनमाना फ़ाइल रीड प्राप्त करने की अनुमति देती है। हमला H2 JDBC विनिर्देश में INIT गुण इंजेक्ट करके किया जाता है। यह इंजेक्शन डेटा अखंडता और गोपनीयता से समझौता करते हुए डेटाबेस सिंक के दौरान मनमाना SQL कोड निष्पादित कर सकता है। इस भेद्यता के लिए CVSS स्कोर 7.2 है, जो एक महत्वपूर्ण जोखिम दर्शाता है।

Organizations utilizing Metabase Enterprise for business intelligence and analytics are at risk. Specifically, deployments with lax access controls for administrator accounts or those relying on legacy configurations without robust input validation are particularly vulnerable. Shared hosting environments running Metabase Enterprise also present a heightened risk due to potential cross-tenant exploitation.

• linux / server: Monitor Metabase logs for unusual database sync activity or SQL execution attempts. Use journalctl -u metabase to filter for relevant log entries.

journalctl -u metabase | grep "INIT property" 

• java: Examine Metabase's internal database logs (H2) for suspicious SQL queries originating from serialization imports. • generic web: Monitor access logs for requests to /api/ee/serialization/import with unusual or large POST data payloads.

grep -i "/api/ee/serialization/import" access.log

1. 2026-03-27Disclosure

   disclosure

2. 2026-03-27Patch

   patch

1. आरक्षित2026-03-23
2. प्रकाशित2026-03-27
3. संशोधित2026-03-28
4. EPSS अद्यतन2026-04-03

अनुशंसित समाधान Metabase Enterprise को संस्करण 1.59.4 या उच्चतर में अपग्रेड करना है। इस संस्करण में इस भेद्यता के लिए एक फिक्स शामिल है। यदि तत्काल अपग्रेड संभव नहीं है, तो /api/ee/serialization/import एंडपॉइंट तक पहुंच को विश्वसनीय उपयोगकर्ताओं तक सीमित करें और संदिग्ध गतिविधि के लिए सिस्टम लॉग की सक्रिय रूप से निगरानी करें। न्यूनतम विशेषाधिकार नीति को लागू करना भी महत्वपूर्ण है, यह सुनिश्चित करना कि प्रशासकों के पास केवल अपने कार्यों को करने के लिए आवश्यक अनुमतियां हैं। इन शमन उपायों को लागू करने से अपग्रेड किए जाने तक भेद्यता के शोषण के जोखिम को कम करने में मदद मिल सकती है।