検出

Metabase 0.41.x < 0.41.7 / 0.42.x < 0.42.4 / 1.40.x < 1.40.8 / 1.41.x < 1.41.7 / 1.42.x 1.42.4

medium Nessus プラグイン ID 261767

Language:

概要

リモートホストは、脆弱性の影響を受けます。

説明

リモートホストにインストールされている Metabase のバージョンは、 1.42.4より前の です。したがって、オープンソースのビジネスインテリジェンスおよび分析アプリケーションである Metabase の影響を受けます。影響を受けるバージョンでは、Metabase は、クロスサイトスクリプティングXSS攻撃を可能にする内部開発エンドポイント「/_internal」で出荷され、悪意のあるリンクによるフィッシング試行をアカウント乗っ取りにつながる可能性があります。
ユーザーは、直ちにアップグレードするか、ファイアウォールで Metabase の「/_internal」エンドポイントへのアクセスをブロックすることが推奨されます。以下のパッチまたはそれ以降のバージョンが利用可能です 0.42.4 および 1.42.4、 0.41.7 および 1.41.7、 0.40.8 および 1.40.8。

 Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Metabase バージョン 1.42.4 またはそれ以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?53974218

https://github.com/metabase/metabase/releases/tag/v0.42.4

プラグインの詳細

深刻度: Medium

ID: 261767

ファイル名: metabase_CVE-2022-24855.nasl

バージョン: 1.1

タイプ: remote

ファミリー: CGI abuses

公開日: 2025/9/9

更新日: 2025/9/9

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.0

CVSS v2

リスクファクター: Medium

基本値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N

CVSS スコアのソース: CVE-2022-24855

CVSS v3

リスクファクター: Medium

基本値: 5.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

脆弱性情報

CPE: cpe:/a:metabase:metabase

必要な KB アイテム: installed_sw/Metabase

パッチ公開日: 2022/4/14

脆弱性公開日: 2022/4/14

参照情報

CVE: CVE-2022-24855

CWE: CWE-79