Metabase 0.43.x < 0.43.7.1 / 0.44.x < 0.44.6.1 / 0.45.x < 0.45.2.1 / 1.43.x < 1.43.7.1 / 1.44.x < 1.44.6.1 / 1.45.x 1.45.2.1
medium Nessus プラグイン ID 261773
Language:
概要
リモートホストは、脆弱性の影響を受けます。説明
リモートホストにインストールされている Metabase のバージョンは、複数の脆弱性の影響を受けます- 認証されていないアクターへの機密情報の情報漏洩。サンドボックス化されたユーザーは、Metabase アプリケーション内のどこでも、他の Metabase ユーザーに関するデータを表示できないはずです。ただし、サンドボックスユーザーがダッシュボードサブスクリプションの設定を表示し、別のユーザーがそのサブスクリプションにユーザーを追加した場合、サンドボックスユーザーはそのサブスクリプションの受信者のリストを表示できます。CVE-2023-23628
- データに対するより大きなアクセス権を持つユーザーがダッシュボードサブスクリプションを作成し、よりデータ権限の低いユーザーを追加し、そのサブスクリプションのすべての受信者が同じデータを受け取る可能性があるアクセスコントロールの漏洩。メールに表示されるチャートは、サブスクリプションを作成したユーザーの権限に従います。問題は、ダッシュボードを表示できる権限がより少ないユーザーが、追加のデータ権限を持つユーザーによって作成されたダッシュボードサブスクリプションに自分自身を追加できるため、メール経由でより多くのデータにアクセスできることです。CVE-2023-23629
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Metabase バージョン 0.43.7.1、 0.44.6.1、 0.45.2.1、 1.43.7.1、 1.44.6.1、 1.45.2.1、またはそれ以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 261773
ファイル名: metabase_CVE-2023-23628.nasl
バージョン: 1.1
タイプ: remote
ファミリー: CGI abuses
公開日: 2025/9/9
更新日: 2025/9/9
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.2
CVSS v2
リスクファクター: Medium
基本値: 6.8
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:N/A:N
CVSS スコアのソース: CVE-2023-23628
CVSS v3
リスクファクター: Medium
基本値: 5.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
脆弱性情報
CPE: cpe:/a:metabase:metabase
必要な KB アイテム: installed_sw/Metabase
パッチ公開日: 2023/1/28
脆弱性公開日: 2023/1/28
参照情報
CVE: CVE-2023-23628, CVE-2023-23629