CVE-2023-38646
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/07/2023
Última modificación:
15/02/2024
Descripción
*** Pendiente de traducción *** Metabase open source before 0.46.6.1 and Metabase Enterprise before 1.46.6.1 allow attackers to execute arbitrary commands on the server, at the server's privilege level. Authentication is not required for exploitation. The other fixed versions are 0.45.4.1, 1.45.4.1, 0.44.7.1, 1.44.7.1, 0.43.7.2, and 1.43.7.2.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:metabase:metabase:*:*:*:*:-:*:*:* | 0.43.7.2 (excluyendo) | |
| cpe:2.3:a:metabase:metabase:*:*:*:*:enterprise:*:*:* | 1.43.7.2 (excluyendo) | |
| cpe:2.3:a:metabase:metabase:*:*:*:*:-:*:*:* | 0.44.0 (incluyendo) | 0.44.7.1 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:-:*:*:* | 0.45.0 (incluyendo) | 0.45.4.1 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:-:*:*:* | 0.46.0 (incluyendo) | 0.46.6.1 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:enterprise:*:*:* | 1.44.0 (incluyendo) | 1.44.7.1 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:enterprise:*:*:* | 1.45.0 (incluyendo) | 1.45.4.1 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:enterprise:*:*:* | 1.46.0 (incluyendo) | 1.46.6.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/174091/Metabase-Remote-Code-Execution.html
- http://packetstormsecurity.com/files/177138/Metabase-0.46.6-Remote-Code-Execution.html
- https://github.com/metabase/metabase/issues/32552
- https://github.com/metabase/metabase/releases/tag/v0.46.6.1
- https://news.ycombinator.com/item?id=36812256
- https://www.metabase.com/blog/security-advisory