Vulnerabilidad en Metabase (CVE-2022-39360)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
26/10/2022
Última modificación:
28/10/2022
Descripción
Metabase es un software de visualización de datos. En versiones anteriores a 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 y 1.41.9, los usuarios de inicio de sesión único (SSO) podían restablecer sus contraseñas en Metabase, lo que podía permitir el acceso de un usuario sin pasar por el IdP de SSO. Este problema ha sido corregido en las versiones 0.44.5, 1.44.5, 0.43.7, 1.43.7, 0.42.6, 1.42.6, 0.41.9 y 1.41.9. Metabase ahora bloquea el restablecimiento de la contraseña para todos los usuarios que usan SSO para su inicio de sesión en Metabase
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 0.41.0 (incluyendo) | 0.41.9 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 0.42.0 (incluyendo) | 0.42.6 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 0.43.0 (incluyendo) | 0.43.7 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 0.44.0 (incluyendo) | 0.44.5 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 1.41.0 (incluyendo) | 1.41.9 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 1.42.0 (incluyendo) | 1.42.6 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 1.43.0 (incluyendo) | 1.43.7 (excluyendo) |
| cpe:2.3:a:metabase:metabase:*:*:*:*:*:*:*:* | 1.44.0 (incluyendo) | 1.44.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página