Metabase 0.41.x < 0.41.7 / 0.42.x < 0.42.4 / 1.41.x < 1.41.7 / 1.42.x 1.42.4
high Nessus プラグイン ID 261775
Language:
概要
リモートホストは、脆弱性の影響を受けます。説明
リモートホストにインストールされている Metabase のバージョンは、 Unknown より前の です。したがって、オープンソースのビジネスインテリジェンスおよび分析アプリケーションである Metabase の影響を受けます。SQLite には、「ATTACH DATABASE」と呼ばれる FDW のような機能があり、これにより、初期接続で複数の SQLite データベースを接続できます。攻撃者が少なくとも 1 つの SQLite データベースに対する SQL 権限を持っている場合、このデータベースを 2 番目のデータベースに添付することができ、その後すべてのテーブルにクエリを実行する可能性があります。それを行うには、攻撃者は 2 番目のデータベースへのファイルパスも知っている必要があります。ユーザーは、至急アップグレードすることが勧められています。アップグレードできない場合は、SQLite 接続文字列を変更して URL 引数「?limit_attached=0」を含めることができます。これにより、他の SQLite データベースへの接続が許可されなくなります。SQLite を使用しているユーザーのみが影響を受けます。Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
MetabaseバージョンUnknownまたは以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 261775
ファイル名: metabase_CVE-2022-24854.nasl
バージョン: 1.1
タイプ: remote
ファミリー: CGI abuses
公開日: 2025/9/9
更新日: 2025/9/9
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 9
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS スコアのソース: CVE-2022-24854
CVSS v3
リスクファクター: High
基本値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
脆弱性情報
CPE: cpe:/a:metabase:metabase
必要な KB アイテム: installed_sw/Metabase
パッチ公開日: 2022/4/14
脆弱性公開日: 2022/4/14
参照情報
CVE: CVE-2022-24854
CWE: CWE-610