Metabase 0.41.x < 0.41.7 / 0.42.x < 0.42.4 / 1.41.x < 1.41.7 / 1.42.x 1.42.4
high Nessus Plugin ID 261775
語言:
概要
遠端主機受到一個弱點影響。說明
遠端主機上安裝的 Metabase 版本比 Unknown 舊。因此會受到 Metabase (一種開放原始碼商業情報和分析應用程式) 影響。SQLite 有一個類似 FDW 的功能稱為「ATTACH DATABASE」此功能允許透過初始連線來連接多個 SQLite 資料庫。如果攻擊者至少擁有一個 SQLite 資料庫的 SQL 權限就可以將此資料庫附加到第二個資料庫接著就可以查詢所有表格。若要能夠執行此操作攻擊者也需要知道第二個資料庫的檔案路徑。建議使用者盡快進行升級。如果無法升級可以修改 SQLIte 連線字串使其包含 url 引數「?limit_attached=0」這樣會禁止建立與其他 SQLite 資料庫的連線。只有使用 SQLite 的使用者會受到影響。請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Metabase Unknown 版或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 261775
檔案名稱: metabase_CVE-2022-24854.nasl
版本: 1.1
類型: remote
系列: CGI abuses
已發布: 2025/9/9
已更新: 2025/9/9
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 9
媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2022-24854
CVSS v3
風險因素: High
基本分數: 8.8
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
弱點資訊
CPE: cpe:/a:metabase:metabase
必要的 KB 項目: installed_sw/Metabase
修補程式發佈日期: 2022/4/14
弱點發布日期: 2022/4/14
參考資訊
CVE: CVE-2022-24854
CWE: CWE-610