一、背景介绍
近日,市委网信办技术支撑单位监测发现Metabase发布新版本,修复了Metabase远程命令执行漏洞(CVE-2023-38646)。
1.1 漏洞描述
未经身份认证的远程攻击者利用该漏洞可以在服务器上以运行Metabase服务器的权限执行任意命令。
1.2 漏洞编号
CVE-2023-38646
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
Metabase open source < 0.46.6.1
Metabase Enterprise < 1.46.6.1
Metabase open source < v0.45.4.1
Metabase Enterprise < 1.45.4.1
Metabase open source < 0.44.7.1
Metabase Enterprise < 1.44.7.1
Metabase open source < 0.43.7.2
Metabase Enterprise < 1.43.7.2
2.2 修复建议
目前,官方已发布新版本修复该漏洞,建议用户尽快更新。
https://github.com/metabase/metabase/releases