Vulnerabilidad en metabase (CVE-2026-33725)

Metabase es una herramienta de inteligencia de negocios de código abierto y análisis embebido. En Metabase Enterprise anterior a las versiones 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 y 1.59.4, los administradores autenticados en Metabase Enterprise Edition pueden lograr Ejecución Remota de Código (RCE) y Lectura Arbitraria de Archivos a través del endpoint 'POST /API/ee/serialization/import'. Un archivo de serialización manipulado inyecta una propiedad 'INIT' en la especificación H2 JDBC, que puede ejecutar SQL arbitrario durante una sincronización de base de datos. Confirmamos que esto era posible en Metabase Cloud. Esto solo afecta a Metabase Enterprise. Metabase OSS carece de las rutas de código afectadas. Todas las versiones de Metabase Enterprise que tienen serialización, lo que se remonta al menos a la versión 1.47, están afectadas. Las versiones de Metabase Enterprise 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 y 1.59.4 parchean el problema. Como solución alternativa, deshabilite el endpoint de importación de serialización en su instancia de Metabase para evitar el acceso a las rutas de código vulnerables.