Platform
java
Component
metabase
Opgelost in
1.54.23
1.55.1
1.56.1
1.57.1
1.58.1
1.59.1
CVE-2026-33725 beschrijft een Remote Code Execution (RCE) kwetsbaarheid in Metabase Enterprise. Geauthenticeerde beheerders kunnen code uitvoeren via de POST /api/ee/serialization/import endpoint. De impact is de mogelijkheid om willekeurige code uit te voeren. Metabase Enterprise versies >= 1.59.0 en < 1.59.4 zijn kwetsbaar. De issue is opgelost in versie 1.59.4.
CVE-2026-33725 heeft betrekking op Metabase Enterprise-versies vóór 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 en 1.59.4. Deze kwetsbaarheid stelt geauthenticeerde beheerders in de Enterprise Edition in staat om Remote Code Execution (RCE) en Arbitrary File Read te bereiken. De aanval wordt uitgevoerd via de /api/ee/serialization/import endpoint door een INIT-eigenschap in de H2 JDBC-specificatie te injecteren. Deze injectie kan willekeurige SQL-code uitvoeren tijdens een databasesynchronisatie, waardoor de dataintegrititeit en -vertrouwelijkheid in gevaar komen. De CVSS-score voor deze kwetsbaarheid is 7.2, wat een aanzienlijk risico aangeeft.
Een aanvaller met beheerdersrechten in Metabase Enterprise kan deze kwetsbaarheid misbruiken door een kwaadaardig serialisatiebestand te maken dat een speciaal ontworpen INIT-eigenschap bevat. Door dit bestand via de /api/ee/serialization/import endpoint te importeren, kan de aanvaller willekeurige SQL-code in de database injecteren en uitvoeren. Dit kan de aanvaller in staat stellen gevoelige gegevens te lezen, gegevens te wijzigen of zelfs de controle over de database server over te nemen. Misbruik vereist authenticatie als beheerder, wat de reikwijdte van de aanval beperkt, maar nog steeds een aanzienlijk risico vormt voor organisaties die Metabase Enterprise gebruiken.
Organizations utilizing Metabase Enterprise for business intelligence and analytics are at risk. Specifically, deployments with lax access controls for administrator accounts or those relying on legacy configurations without robust input validation are particularly vulnerable. Shared hosting environments running Metabase Enterprise also present a heightened risk due to potential cross-tenant exploitation.
• linux / server: Monitor Metabase logs for unusual database sync activity or SQL execution attempts. Use journalctl -u metabase to filter for relevant log entries.
journalctl -u metabase | grep "INIT property" • java: Examine Metabase's internal database logs (H2) for suspicious SQL queries originating from serialization imports.
• generic web: Monitor access logs for requests to /api/ee/serialization/import with unusual or large POST data payloads.
grep -i "/api/ee/serialization/import" access.logdisclosure
patch
Exploit Status
EPSS
0.35% (57% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om Metabase Enterprise te upgraden naar versie 1.59.4 of hoger. Deze versie bevat een correctie voor de kwetsbaarheid. Als een onmiddellijke upgrade niet mogelijk is, beperk dan de toegang tot de /api/ee/serialization/import endpoint tot vertrouwde gebruikers en bewaak de systeemlogboeken actief op verdachte activiteiten. Het is ook essentieel om een policy van minimale privileges te implementeren, zodat beheerders alleen de vereiste rechten hebben om hun taken uit te voeren. Het toepassen van deze mitigerende maatregelen kan helpen het risico op uitbuiting te verminderen totdat de upgrade kan worden uitgevoerd.
Update Metabase Enterprise naar versie 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 of 1.59.4, of hoger. Als alternatief kunt u het serialisatie-import-endpoint in uw Metabase-instantie uitschakelen om toegang tot de kwetsbare codepaden te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Metabase is een open-source business intelligence en embedded analytics tool.
Deze update repareert een remote code execution kwetsbaarheid die een aanvaller in staat zou kunnen stellen uw systeem te compromitteren.
Beperk de toegang tot de /api/ee/serialization/import endpoint en bewaak de systeemlogboeken.
Implementeer een policy van minimale privileges en zorg ervoor dat beheerders alleen de vereiste rechten hebben.
Raadpleeg de officiële Metabase documentatie en de release notes van de update.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.