Plataforma
java
Componente
metabase
Corrigido em
1.54.23
1.55.1
1.56.1
1.57.1
1.58.1
1.59.1
CVE-2026-33725 é uma vulnerabilidade de Execução Remota de Código (RCE) que afeta o Metabase Enterprise. Um administrador autenticado pode executar código arbitrário através do endpoint POST /api/ee/serialization/import injetando uma propriedade INIT em uma especificação H2 JDBC, permitindo a execução de SQL arbitrário durante uma sincronização de banco de dados. As versões afetadas são Metabase Enterprise <=1.59.0 e <1.59.4. A vulnerabilidade foi corrigida na versão 1.59.4.
A vulnerabilidade CVE-2026-33725 afeta o Metabase Enterprise em versões anteriores a 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 e 1.59.4. Administradores autenticados na Edição Enterprise podem alcançar Execução Remota de Código (RCE) e Leitura Arbitrária de Arquivos através do endpoint /api/ee/serialization/import. O ataque é realizado injetando uma propriedade INIT na especificação JDBC do H2, que pode executar código SQL arbitrário durante uma sincronização do banco de dados. A pontuação CVSS para esta vulnerabilidade é 7.2, indicando um risco significativo.
Um atacante com privilégios de administrador no Metabase Enterprise pode explorar esta vulnerabilidade criando um arquivo de serialização malicioso contendo uma propriedade INIT especialmente projetada. Ao importar este arquivo através do endpoint /api/ee/serialization/import, o atacante pode injetar e executar código SQL arbitrário no banco de dados. Isso pode permitir que o atacante leia dados confidenciais, modifique dados ou até mesmo assuma o controle do servidor de banco de dados. A exploração requer autenticação como administrador, o que limita o escopo do ataque, mas ainda representa um risco significativo para as organizações que utilizam o Metabase Enterprise.
Organizations utilizing Metabase Enterprise for business intelligence and analytics are at risk. Specifically, deployments with lax access controls for administrator accounts or those relying on legacy configurations without robust input validation are particularly vulnerable. Shared hosting environments running Metabase Enterprise also present a heightened risk due to potential cross-tenant exploitation.
• linux / server: Monitor Metabase logs for unusual database sync activity or SQL execution attempts. Use journalctl -u metabase to filter for relevant log entries.
journalctl -u metabase | grep "INIT property" • java: Examine Metabase's internal database logs (H2) for suspicious SQL queries originating from serialization imports.
• generic web: Monitor access logs for requests to /api/ee/serialization/import with unusual or large POST data payloads.
grep -i "/api/ee/serialization/import" access.logdisclosure
patch
Status do Exploit
EPSS
0.35% (percentil 57%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar o Metabase Enterprise para a versão 1.59.4 ou superior. Esta versão inclui uma correção para a vulnerabilidade. Se não for possível atualizar imediatamente, restrinja o acesso ao endpoint /api/ee/serialization/import apenas a usuários confiáveis e monitore ativamente os logs do sistema em busca de atividades suspeitas. É crucial implementar uma política de privilégios mínimos, garantindo que os administradores tenham apenas as permissões necessárias para realizar suas tarefas. A aplicação dessas medidas de mitigação pode ajudar a reduzir o risco de exploração até que a atualização possa ser realizada.
Actualice Metabase Enterprise a la versión 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 o 1.59.4 o superior. Como alternativa, deshabilite el endpoint de importación de serialización en su instancia de Metabase para evitar el acceso a las rutas de código vulnerables.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Metabase é uma ferramenta de inteligência de negócios e análise integrada de código aberto.
Esta atualização corrige uma vulnerabilidade de execução remota de código que poderia permitir que um atacante comprometesse seu sistema.
Restrinja o acesso ao endpoint /api/ee/serialization/import e monitore os logs do sistema.
Implemente uma política de privilégios mínimos e certifique-se de que os administradores tenham apenas as permissões necessárias.
Consulte a documentação oficial do Metabase e as notas de lançamento da atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.