UNKNOWNCVE-2026-33725
CVE-2026-33725 Metabase RCE 漏洞,影响企业版
平台
java
组件
metabase
已修复版本
1.59.4
CVE-2026-33725 描述了 Metabase Enterprise 中的一个远程代码执行 (RCE) 漏洞,该漏洞允许经过身份验证的管理员执行任意代码。该漏洞存在于 `POST /api/ee/serialization/import` 接口中。受影响的版本为 >= 1.59.0, < 1.59.4。该问题已在 1.59.4 版本中得到修复,建议用户尽快升级。
修复方法
将 Metabase Enterprise 更新到 1.54.22、1.55.22、1.56.22、1.57.16、1.58.10 或 1.59.4 或更高版本。或者,在您的 Metabase 实例中禁用序列化导入端点,以防止访问易受攻击的代码路径。
常见问题
什么是 CVE-2026-33725 漏洞?
CVE-2026-33725 是 Metabase Enterprise 中的一个远程代码执行 (RCE) 漏洞,允许经过身份验证的管理员执行任意代码。
我是否受到 CVE-2026-33725 漏洞的影响?
如果您正在使用 Metabase Enterprise 且版本在 >= 1.59.0 和 < 1.59.4 之间,并且您是管理员,那么您可能受到影响。
如何修复 CVE-2026-33725 漏洞?
升级到 Metabase Enterprise 的 1.59.4 或更高版本以修复此漏洞。