Vulnerabilidad en Metabase (CVE-2025-30371)

Gravedad CVSS v4.0:

BAJA

Tipo:

CWE-59 Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)

Fecha de publicación:

28/03/2025

Última modificación:

28/03/2025

Descripción

Metabase es una herramienta de inteligencia empresarial y análisis integrado. Las versiones anteriores a v0.52.16.4, v1.52.16.4, v0.53.8 y v1.53.8 son vulnerables a la elusión de la protección de acceso a enlaces locales en el endpoint GeoJson. Las instancias de Metabase alojadas en servidores propios que utilizan la función GeoJson podrían verse afectadas si su Metabase se aloja junto con otros recursos no seguros. Esto se ha corregido en v0.52.16.4, v1.52.16.4, v0.53.8 y v1.53.8. Una solución alternativa es migrar a Metabase Cloud o redistribuir Metabase en una subred dedicada con controles estrictos de puertos de salida.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:H/AT:P/PR:H/UI:N/VC:N/VI:N/VA:N/SC:L/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.10 BAJA
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:H/UI:N/VC:N/VI:N/VA:N/SC:L/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

2.10

Gravedad 4.0

BAJA

Referencias a soluciones, herramientas e información

https://github.com/metabase/metabase/security/advisories/GHSA-8xf9-9jc8-qp98