偵測

Metabase 0.43.x < 0.43.7.1 / 0.44.x < 0.44.6.1 / 0.45.x0.45.2.1 < / 1.43.x < 1.43.7.1 / 1.44.x < 1.44.6.1 / 1.45.x 1.45.2.1

medium Nessus Plugin ID 261773

語言:

概要

遠端主機受到一個弱點影響。

說明

遠端主機上安裝的 Metabase 版本受到多個弱點影響
- 敏感資訊的資訊洩漏洩漏給未經授權的執行者。沙箱化使用者不應能夠在 Metabase 應用程式中的任何位置檢視其他 Metabase 使用者的相關資料。不過當沙箱使用者檢視儀表板訂閱的設定且其他使用者已將使用者新增至該訂閱時該沙箱使用者可以檢視該訂閱的收件者清單。 (CVE-2023-23628)

 - 一個存取控制洩漏弱點因為對資料擁有更高權限的使用者可以建立儀表板訂閱、以較少的資料權限新增人員而且該訂閱的所有收件者都會收到相同的資料。電子郵件中顯示的圖表將遵循建立訂閱之使用者的權限。問題在於可檢視儀表板的權限較少的使用者可將自己加入至擁有額外資料權限之使用者所建立的儀表板訂閱中因而可透過電子郵件存取更多資料。 (CVE-2023-23629)

 請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Metabase 0.43.7.1、 0.44.6.1、 0.45.2.1、 1.43.7.1、 1.44.6.1、 1.45.2.1版或更新版本。

另請參閱

http://www.nessus.org/u?afa2a6a8

http://www.nessus.org/u?a525dbcc

Plugin 詳細資訊

嚴重性: Medium

ID: 261773

檔案名稱: metabase_CVE-2023-23628.nasl

版本: 1.1

類型: remote

系列: CGI abuses

已發布: 2025/9/9

已更新: 2025/9/9

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.2

CVSS v2

風險因素: Medium

基本分數: 6.8

媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:N/A:N

CVSS 評分資料來源: CVE-2023-23628

CVSS v3

風險因素: Medium

基本分數: 5.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

弱點資訊

CPE: cpe:/a:metabase:metabase

必要的 KB 項目: installed_sw/Metabase

修補程式發佈日期: 2023/1/28

弱點發布日期: 2023/1/28

參考資訊

CVE: CVE-2023-23628, CVE-2023-23629