Metabase BI 软件中发现严重安全漏洞，敦促用户尽快更新

Metabase 是一种广泛使用的商业智能和数据可视化软件，最近公布了一个严重的安全漏洞，给用户带来了重大风险。该缺陷已被归类为“极其严重”，可能导致在受影响的系统上执行预先身份验证的远程代码。该漏洞编号为 CVE-2023-38646，影响 0.46.6.1 之前的 Metabase 开源版本和 1.46.6.1 之前的 Metabase Enterprise 版本。作为预防措施，所有用户都必须更新到最新版本的 Metabase，以减轻与此安全问题相关的潜在风险。

在最近的一份通报中，Metabase 披露了一个严重的安全漏洞，该漏洞允许攻击者在未经身份验证的情况下在 Metabase 服务器上执行任意命令，从而以相同的权限获得未经授权的访问。尽管没有证据表明存在主动利用，但 Shadowserver 基金会的令人震惊的数据表明，截至 2023 年 7 月 26 日，6,936 个 Metabase 实例中有 5,488 个实例容易受到攻击。这些案例在美国、印度、德国、法国、英国和巴西普遍存在和澳大利亚。用户必须通过更新到最新版本来紧急解决此问题，以保护其系统免受潜在风险和敏感数据的未经授权的访问。

Assetnote 是一家发现并报告软件错误的公司，它在 Metabase 中发现了问题并让他们知道。该问题与软件如何连接到数据库有关，它影响软件的特定部分，称为“/API/setup/validates”。不良行为者可以通过使用专门设计的请求来欺骗软件的数据库驱动程序（称为 H2）以允许未经授权的访问，从而利用此弱点。这可以让他们控制系统并能够远程执行命令。

对于无法立即应用补丁的用户来说，采取额外的保护措施至关重要。强烈建议阻止对易受攻击的“/API/setup”端点的任何请求，以保护系统。此外，您最好将受影响的元数据库实例与主要生产网络隔离，以限制其暴露。通过这样做，潜在的攻击者会发现访问易受攻击的端点更具挑战性。此外，对已识别端点的可疑请求进行警惕监控也至关重要。这将有助于检测未经授权的利用漏洞的尝试，并及时采取措施防止潜在的攻击。

Metabase BI 软件中发现严重安全漏洞，敦促用户尽快更新 截图