CVE-2021-41277 Metabase 敏感信息泄漏

Posted 2023-04-18

参考技术A Metabase是一个开源数据分析平台。在受影响的版本中，已发现自定义 GeoJSON 地图（ admin->settings->maps->custom maps->add a map ）支持和潜在的本地文件包含（包括环境变量）存在安全问题。在加载之前未验证 URL。此问题已在新的维护版本（0.40.5 和 1.40.5）以及之后的任何后续版本中修复。如果您无法立即升级，您可以通过在反向代理或负载均衡器或 WAF 中包含规则以在应用程序之前提供验证过滤器来缓解这种情况。

<0.40.5和<1.40.5的版本存在漏洞。

https://nvd.nist.gov/vuln/detail/CVE-2021-41277

使用vulfocus.fofa.so上的环境进行复现，搜索

cve_2021_41277

cve_2021_41277

Metabase概述

Metabase可以帮助你把数据库中的数据更好的呈现给更多人，数据分析人员通过建立一个”查询“（Metabase中定义为Question）来提炼数据，再通过仪表盘（Dashboards）来组合展示给公司成员

漏洞影响版本

metabase version < 0.40.5
metabase version >= 1.0.0, < 1.40.5

漏洞概述

该漏洞的某个地址存在未授权访问，并且能够进行任意文件的读取

漏洞复现

对存在该漏洞的网站进行拼接/api/geojson?url=file:/etc/passwd

复现截图