Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Metabase (CVE-2023-37470)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
04/08/2023
Última modificación:
09/08/2023

Descripción

Metabase es una plataforma de análisis e inteligencia empresarial de código abierto. Antes de las versiones 0.43.7.3, 0.44.7.3, 0.45.4.3, 0.46.6.4, 1.43.7.3, 1.44.7.3, 1.45.4.3 y 1.46.6.4, una vulnerabilidad podía permitir la ejecución remota de código en el servidor Metabase. El problema central es que uno de los almacenes de datos soportados (una base de datos en memoria embebida H2), expone un varias maneras para que una cadena de conexión incluya código que luego es ejecutado por el proceso que ejecuta la base de datos embebida. Debido a que Metabase permite a los usuarios conectarse a bases de datos, esto significa que una cadena suministrada por el usuario puede ser utilizada para inyectar código ejecutable. Metabase permite a los usuarios validar su cadena de conexión antes de añadir una base de datos (incluso en la configuración), y esta API de validación fue el principal vector utilizado, ya que puede ser llamada sin validación. Las versiones 0.43.7.3, 0.44.7.3, 0.45.4.3, 0.46.6.4, 1.43.7.3, 1.44.7.3, 1.45.4.3 y 1.46.6.4 solucionan este problema eliminando por completo la posibilidad de que los usuarios añadan bases de datos H2. Como solución, es posible bloquear estas vulnerabilidades a nivel de red bloqueando los endpoints `POST /api/database`, `PUT /api/database/:id`, y `POST /api/setup/validateuntil`. Quienes utilicen H2 como base de datos basada en ficheros deberían migrar a SQLite.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:metabase:metabase:*:*:*:*:-:*:*:* 0.43.7.3 (excluyendo)
cpe:2.3:a:metabase:metabase:*:*:*:*:enterprise:*:*:* 1.43.7.3 (excluyendo)
cpe:2.3:a:metabase:metabase:*:*:*:*:-:*:*:* 0.44.0 (incluyendo) 0.44.7.3 (excluyendo)
cpe:2.3:a:metabase:metabase:*:*:*:*:-:*:*:* 0.45.0 (incluyendo) 0.45.4.3 (excluyendo)
cpe:2.3:a:metabase:metabase:*:*:*:*:-:*:*:* 0.46.0 (incluyendo) 0.46.6.4 (excluyendo)
cpe:2.3:a:metabase:metabase:*:*:*:*:enterprise:*:*:* 1.44.0 (incluyendo) 1.44.7.3 (excluyendo)
cpe:2.3:a:metabase:metabase:*:*:*:*:enterprise:*:*:* 1.45.0 (incluyendo) 1.45.4.3 (excluyendo)
cpe:2.3:a:metabase:metabase:*:*:*:*:enterprise:*:*:* 1.46.0 (incluyendo) 1.46.6.4 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información