HIGHCVE-2026-33725CVSS 7.2

CVE-2026-33725 Metabase RCE 漏洞，影响企业版

Q: CVE-2026-33725 是什么 — Metabase Enterprise 中的 Remote Code Execution (RCE)？

Metabase 是一个开源的商业智能和嵌入式分析工具。

Q: Metabase Enterprise 中的 CVE-2026-33725 是否会影响我？

此更新修复了一个远程代码执行漏洞，该漏洞可能允许攻击者破坏您的系统。

Q: 如何修复 Metabase Enterprise 中的 CVE-2026-33725？

限制对 `/api/ee/serialization/import` 端点的访问并监控系统日志。

Q: CVE-2026-33725 是否正在被积极利用？

实施最小权限原则，并确保管理员仅拥有执行其任务所需的权限。

Q: 在哪里可以找到 Metabase Enterprise 关于 CVE-2026-33725 的官方安全通告？

请参阅 Metabase 的官方文档和更新发布说明。

平台

java

组件

metabase

修复版本

1.54.23

1.55.1

1.56.1

1.57.1

1.58.1

1.59.1

AI Confidence: highNVDEPSS 0.3%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-33725 描述了 Metabase Enterprise 中的一个远程代码执行 (RCE) 漏洞，该漏洞允许经过身份验证的管理员执行任意代码。该漏洞存在于 POST /api/ee/serialization/import 接口中。受影响的版本为 >= 1.59.0, < 1.59.4。该问题已在 1.59.4 版本中得到修复，建议用户尽快升级。

影响与攻击场景

CVE-2026-33725 影响 Metabase Enterprise 在 1.54.22、1.55.22、1.56.22、1.57.16、1.58.10 和 1.59.4 之前的版本。此漏洞允许 Enterprise 版中的经过身份验证的管理员通过 /api/ee/serialization/import 端点实现远程代码执行 (RCE) 和任意文件读取。攻击是通过向 H2 JDBC 规范注入 INIT 属性来执行的。此注入可以在数据库同步期间执行任意 SQL 代码，从而危及数据完整性和保密性。此漏洞的 CVSS 评分是 7.2，表明存在重大风险。

利用背景

Metabase Enterprise 中具有管理员权限的攻击者可以通过创建包含专门设计的 INIT 属性的恶意序列化文件来利用此漏洞。通过 /api/ee/serialization/import 端点导入此文件，攻击者可以在数据库中注入并执行任意 SQL 代码。这可以让攻击者读取敏感数据、修改数据，甚至控制数据库服务器。漏洞利用需要管理员身份验证，这限制了攻击范围，但对于使用 Metabase Enterprise 的组织来说仍然存在重大风险。

哪些人处于风险中翻译中…

Organizations utilizing Metabase Enterprise for business intelligence and analytics are at risk. Specifically, deployments with lax access controls for administrator accounts or those relying on legacy configurations without robust input validation are particularly vulnerable. Shared hosting environments running Metabase Enterprise also present a heightened risk due to potential cross-tenant exploitation.

检测步骤翻译中…

• linux / server: Monitor Metabase logs for unusual database sync activity or SQL execution attempts. Use journalctl -u metabase to filter for relevant log entries.

journalctl -u metabase | grep "INIT property"

• java: Examine Metabase's internal database logs (H2) for suspicious SQL queries originating from serialization imports. • generic web: Monitor access logs for requests to /api/ee/serialization/import with unusual or large POST data payloads.

grep -i "/api/ee/serialization/import" access.log

攻击时间线

2026-03-27Disclosure
disclosure
2026-03-27Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.35% (57% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件metabase

供应商metabase

影响范围修复版本

< 1.54.22 – < 1.54.221.54.23

>= 1.55.0, < 1.55.22 – >= 1.55.0, < 1.55.221.55.1

>= 1.56.0, < 1.56.22 – >= 1.56.0, < 1.56.221.56.1

>= 1.57.0, < 1.57.16 – >= 1.57.0, < 1.57.161.57.1

>= 1.58.0, < 1.58.10 – >= 1.58.0, < 1.58.101.58.1

>= 1.59.0, < 1.59.4 – >= 1.59.0, < 1.59.41.59.1

弱点分类 (CWE)

CWE-502

时间线

已保留2026-03-23
发布日期2026-03-27
修改日期2026-03-28
EPSS 更新日期2026-04-03

缓解措施和替代方案

建议的解决方案是将 Metabase Enterprise 升级到 1.59.4 或更高版本。此版本包含此漏洞的修复程序。如果无法立即升级，请限制对 /api/ee/serialization/import 端点的访问，仅允许受信任用户访问，并积极监控系统日志是否存在可疑活动。实施最小权限原则也很重要，以确保管理员仅拥有执行其任务所需的权限。采取这些缓解措施可以帮助降低漏洞被利用的风险，直到可以执行升级。

修复方法

将 Metabase Enterprise 更新到 1.54.22、1.55.22、1.56.22、1.57.16、1.58.10 或 1.59.4 或更高版本。或者，在您的 Metabase 实例中禁用序列化导入端点，以防止访问易受攻击的代码路径。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-33725 是什么 — Metabase Enterprise 中的 Remote Code Execution (RCE)？