HIGHCVE-2026-33725CVSS 7.2

Metabase は、EE シリアル化インポートの H2 JDBC INIT インジェクションを介して RCE および任意のファイル読み取りに対して脆弱

Q: CVE-2026-33725 とは何ですか？（Metabase Enterprise の Remote Code Execution (RCE)）

Metabase は、オープンソースのビジネスインテリジェンスおよび埋め込み分析ツールです。

Q: Metabase Enterprise の CVE-2026-33725 による影響を受けていますか？

このアップデートは、攻撃者がシステムを侵害する可能性があるリモートコード実行の脆弱性を修正します。

Q: Metabase Enterprise の CVE-2026-33725 を修正するにはどうすればよいですか？

`/api/ee/serialization/import` エンドポイントへのアクセスを制限し、システムログを監視してください。

Q: CVE-2026-33725 は積極的に悪用されていますか？

最小権限の原則を実装し、管理者がタスクに必要な権限のみを持っていることを確認してください。

Q: CVE-2026-33725 に関する Metabase Enterprise の公式アドバイザリはどこで確認できますか？

Metabase の公式ドキュメントとアップデートのリリースノートを参照してください。

プラットフォーム

java

コンポーネント

metabase

修正版

1.54.23

1.55.1

1.56.1

1.57.1

1.58.1

1.59.1

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33725は、Metabase Enterpriseに存在するRCEの脆弱性です。この脆弱性により、認証された管理者は、システム上で任意のコードを実行し、不正な操作を行う可能性があります。影響を受けるバージョンは1.59.4以前です。この問題は、バージョン1.59.4で修正されています。

影響と攻撃シナリオ

CVE-2026-33725 は、Metabase Enterprise の 1.54.22、1.55.22、1.56.22、1.57.16、1.58.10、および 1.59.4 以前のバージョンに影響します。この脆弱性により、Enterprise エディションの認証済み管理者は、/api/ee/serialization/import エンドポイントを通じて Remote Code Execution (RCE) と任意のファイル読み込みを実行できます。攻撃は、H2 JDBC スペックに INIT プロパティを注入することで実行されます。この注入により、データベース同期中に任意の SQL コードが実行され、データの整合性と機密性が損なわれる可能性があります。この脆弱性の CVSS スコアは 7.2 であり、重大なリスクを示しています。

悪用の状況

Metabase Enterprise の管理者権限を持つ攻撃者は、特別に作成された INIT プロパティを含む悪意のあるシリアル化ファイルを生成することで、この脆弱性を悪用できます。/api/ee/serialization/import エンドポイントを通じてこのファイルをインポートすると、攻撃者はデータベースに任意の SQL コードを注入して実行できます。これにより、攻撃者は機密データを読み取ったり、データを変更したり、データベースサーバーの制御を奪ったりする可能性があります。脆弱性の悪用には管理者としての認証が必要であり、攻撃の範囲は制限されますが、Metabase Enterprise を使用している組織にとって依然として重大なリスクとなります。

リスク対象者翻訳中…

Organizations utilizing Metabase Enterprise for business intelligence and analytics are at risk. Specifically, deployments with lax access controls for administrator accounts or those relying on legacy configurations without robust input validation are particularly vulnerable. Shared hosting environments running Metabase Enterprise also present a heightened risk due to potential cross-tenant exploitation.

検出手順翻訳中…

• linux / server: Monitor Metabase logs for unusual database sync activity or SQL execution attempts. Use journalctl -u metabase to filter for relevant log entries.

journalctl -u metabase | grep "INIT property"

• java: Examine Metabase's internal database logs (H2) for suspicious SQL queries originating from serialization imports. • generic web: Monitor access logs for requests to /api/ee/serialization/import with unusual or large POST data payloads.

grep -i "/api/ee/serialization/import" access.log

攻撃タイムライン

2026-03-27Disclosure
disclosure
2026-03-27Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.35% (57% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントmetabase

ベンダーmetabase

影響範囲修正版

< 1.54.22 – < 1.54.221.54.23

>= 1.55.0, < 1.55.22 – >= 1.55.0, < 1.55.221.55.1

>= 1.56.0, < 1.56.22 – >= 1.56.0, < 1.56.221.56.1

>= 1.57.0, < 1.57.16 – >= 1.57.0, < 1.57.161.57.1

>= 1.58.0, < 1.58.10 – >= 1.58.0, < 1.58.101.58.1

>= 1.59.0, < 1.59.4 – >= 1.59.0, < 1.59.41.59.1

弱点分類 (CWE)

CWE-502

タイムライン

予約済み2026-03-23
公開日2026-03-27
更新日2026-03-28
EPSS 更新日2026-04-03

緩和策と回避策

推奨される解決策は、Metabase Enterprise をバージョン 1.59.4 以降にアップグレードすることです。このバージョンには、この脆弱性に対する修正が含まれています。直ちにアップグレードできない場合は、/api/ee/serialization/import エンドポイントへのアクセスを信頼できるユーザーに制限し、システムログを積極的に監視して疑わしいアクティビティがないか確認してください。また、管理者がタスクを実行するために必要な権限のみを持つように、最小権限の原則を実装することが重要です。これらの軽減策を適用することで、アップグレードが実行されるまで、脆弱性の悪用リスクを軽減できます。

修正方法

Metabase Enterprise をバージョン 1.54.22、1.55.22、1.56.22、1.57.16、1.58.10、または 1.59.4 以降にアップグレードしてください。または、Metabase インスタンスでシリアル化インポートエンドポイントを無効にして、脆弱なコードパスへのアクセスを防止してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33725 とは何ですか？（Metabase Enterprise の Remote Code Execution (RCE)）