Vulnerabilidad en Metabase (CVE-2022-39359)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-601
Redireccionamiento de URL a sitio no confiable (Open Redirect)
Fecha de publicación:
26/10/2022
Última modificación:
28/10/2022
Descripción
Metabase es un software de visualización de datos. En versiones anteriores a 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 y 1.41.9, las direcciones URL de los mapas GeoJSON personalizados seguían redireccionamientos a direcciones que no estaban permitidas, como link-local o private-network. Este problema ha sido corregido en versiones 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 y 1.41.9. Metabase ya no sigue los redireccionamientos en las URL de mapas GeoJSON. También fue añadida una variable de entorno "MB_CUSTOM_GEOJSON_ENABLED" para deshabilitar completamente el GeoJSON personalizado ("true" por defecto)
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 0.41.0 (incluyendo) | 0.41.9 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 0.42.0 (incluyendo) | 0.42.6 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 0.43.0 (incluyendo) | 0.43.7 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 0.44.0 (incluyendo) | 0.44.5 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 1.41.0 (incluyendo) | 1.41.9 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 1.42.0 (incluyendo) | 1.42.6 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 1.43.0 (incluyendo) | 1.43.7 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 1.44.0 (incluyendo) | 1.44.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página