ភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពសំខាន់ត្រូវបានរកឃើញនៅក្នុងកម្មវិធី Metabase BI ជំរុញឱ្យអ្នកប្រើប្រាស់ធ្វើបច្ចុប្បន្នភាពឱ្យបានឆាប់

Metabase ដែលជាកម្មវិធីស៊ើបការណ៍សម្ងាត់អាជីវកម្ម និងទិន្នន័យដែលមើលឃើញយ៉ាងទូលំទូលាយ ថ្មីៗនេះបានបង្ហាញនូវភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពដ៏សំខាន់ដែលបង្កហានិភ័យយ៉ាងខ្លាំងដល់អ្នកប្រើប្រាស់។ កំហុសនេះត្រូវបានចាត់ថ្នាក់ថាជា "ធ្ងន់ធ្ងរខ្លាំង" ហើយអាចនាំឱ្យមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវជាមុននៃកូដពីចម្ងាយនៅលើប្រព័ន្ធដែលរងផលប៉ះពាល់។ ភាពងាយរងគ្រោះត្រូវបានតាមដានជា CVE-2023-38646 និងប៉ះពាល់ដល់ការបោះពុម្ពប្រភពបើកចំហនៃ Metabase មុនកំណែ 0.46.6.1 និងកំណែ Metabase Enterprise មុន 1.46.6.1 ។ ជាវិធានការប្រុងប្រយ័ត្ន អ្នកប្រើប្រាស់ទាំងអស់ត្រូវតែអាប់ដេតទៅកំណែចុងក្រោយរបស់ Metabase ដើម្បីកាត់បន្ថយហានិភ័យដែលអាចកើតមានទាក់ទងនឹងបញ្ហាសុវត្ថិភាពនេះ។

នៅក្នុងការប្រឹក្សា នាពេលថ្មីៗនេះ Metabase បានបង្ហាញនូវកំហុសសុវត្ថិភាពដ៏សំខាន់ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្តនៅលើម៉ាស៊ីនមេ Metabase ដោយគ្មានការផ្ទៀងផ្ទាត់ ដោយទទួលបានសិទ្ធិចូលប្រើប្រាស់ដោយគ្មានការអនុញ្ញាតជាមួយនឹងសិទ្ធិដូចគ្នា។ ទោះបីជាមិនមានភ័ស្តុតាងនៃការកេងប្រវ័ញ្ចសកម្មក៏ដោយ ទិន្នន័យប្រកាសអាសន្នពី Shadowserver Foundation បង្ហាញថា 5,488 ក្នុងចំណោម 6,936 Metabase instances មានភាពងាយរងគ្រោះគិតត្រឹមថ្ងៃទី 26 ខែកក្កដា ឆ្នាំ 2023។ ករណីនេះគឺរីករាលដាលនៅក្នុងសហរដ្ឋអាមេរិក ឥណ្ឌា អាល្លឺម៉ង់ បារាំង ចក្រភពអង់គ្លេស ប្រេស៊ីល។ និងអូស្ត្រាលី។ អ្នកប្រើប្រាស់ត្រូវតែដោះស្រាយបញ្ហានេះជាបន្ទាន់ដោយធ្វើបច្ចុប្បន្នភាពទៅកំណែចុងក្រោយបំផុតដើម្បីការពារប្រព័ន្ធរបស់ពួកគេពីហានិភ័យដែលអាចកើតមាន និងការចូលប្រើប្រាស់ទិន្នន័យរសើបដោយគ្មានការអនុញ្ញាត។

Assetnote ដែលជាក្រុមហ៊ុនដែលស្វែងរក និងរាយការណ៍កំហុសកម្មវិធី បានរកឃើញបញ្ហានៅក្នុង Metabase ហើយឱ្យពួកគេដឹងអំពីវា។ បញ្ហាគឺទាក់ទងទៅនឹងរបៀបដែលកម្មវិធីភ្ជាប់ទៅមូលដ្ឋានទិន្នន័យ ហើយវាប៉ះពាល់ដល់ផ្នែកជាក់លាក់នៃកម្មវិធីដែលហៅថា "/API/setup/validates"។ តួអង្គមិនល្អអាចទាញយកប្រយោជន៍ពីភាពទន់ខ្សោយនេះដោយប្រើសំណើដែលបានរចនាឡើងជាពិសេសដែលបោកបញ្ឆោតកម្មវិធីបញ្ជាមូលដ្ឋានទិន្នន័យរបស់កម្មវិធីដែលមានឈ្មោះថា H2 ឱ្យអនុញ្ញាតឱ្យចូលប្រើដោយគ្មានការអនុញ្ញាត។ នោះអាចផ្តល់ឱ្យពួកគេនូវការគ្រប់គ្រងលើប្រព័ន្ធ និងសមត្ថភាពក្នុងការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ។

សម្រាប់អ្នកប្រើប្រាស់ដែលមិនអាចអនុវត្តបំណះភ្លាមៗ ការចាត់វិធានការការពារបន្ថែមគឺមានសារៈសំខាន់ណាស់។ វាត្រូវបានណែនាំយ៉ាងខ្លាំងក្នុងការទប់ស្កាត់សំណើណាមួយទៅកាន់ចំណុចបញ្ចប់ "/API/setup" ដែលងាយរងគ្រោះ ដើម្បីការពារប្រព័ន្ធ។ ជាងនេះទៅទៀត អ្នកគួរតែញែកឧទាហរណ៍ Metabase ដែលរងផលប៉ះពាល់ពីបណ្តាញផលិតកម្មឈានមុខគេ ដើម្បីកំណត់ការប៉ះពាល់របស់វា។ តាមរយៈការធ្វើដូច្នេះ អ្នកវាយប្រហារដែលមានសក្តានុពលនឹងយល់ថាវាកាន់តែលំបាកក្នុងការចូលទៅកាន់ចំណុចបញ្ចប់ដែលងាយរងគ្រោះ។ លើសពីនេះទៀត ការត្រួតពិនិត្យការប្រុងប្រយ័ត្នចំពោះសំណើដែលគួរឱ្យសង្ស័យទៅកាន់ចំណុចបញ្ចប់ដែលបានកំណត់គឺចាំបាច់ណាស់។ វានឹងជួយរកឃើញការប៉ុនប៉ងដោយគ្មានការអនុញ្ញាត ដើម្បី ទាញយកភាពងាយរងគ្រោះ និងចាត់វិធានការទាន់ពេលវេលាដើម្បីការពារការវាយប្រហារដែលអាចកើតមាន។

ភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពសំខាន់ត្រូវបានរកឃើញនៅក្នុងកម្មវិធី Metabase BI ជំរុញឱ្យអ្នកប្រើប្រាស់ធ្វើបច្ចុប្បន្នភាពឱ្យបានឆាប់ រូបថតអេក្រង់