Metabase 基于H2引擎的远程代码执行漏洞（CVE-2023-37470） [有POC]

漏洞类型	代码注入	发现时间	2023/7/31	漏洞等级	严重
MPS编号	MPS-s5nj-29cx	CVE编号	CVE-2023-37470	漏洞影响广度	广

目录隐藏

2 影响范围

3 处置方案

4 排查方式

漏洞危害

OSCS 描述

Metabase 是一个开源的数据分析和可视化工具。
由于 CVE-2023-38646 的补丁（从H2 JDBC连接字符串中删除INIT脚本以防止命令注入）修复不完全，Metabase 仍受到命令注入的影响。攻击者可使用 H2 作为数据库引擎，通过 /api/setup/validate 端点发送恶意构造的 JDBC URI 字符串，在不加载 INIT 脚本的情况下远程执行任意命令
参考链接：https://www.oscs1024.com/hd/MPS-s5nj-29cx

GitHub 官方库描述

核心问题是我们支持的数据仓库之一（嵌入式内存数据库 H2）公开了多种连接字符串的方法，以包含然后由运行嵌入式数据库的进程执行的代码。因为我们允许用户连接到数据库，这意味着用户提供的字符串可用于注入可执行代码。该漏洞可能允许在您的元数据库服务器上远程执行代码
参考链接：https://github.com/metabase/metabase/security/advisories/GHSA-p7w3-9m58-rq83

影响范围

OSCS

Metabase@[0.45.4， 0.45.4.3）
Metabase@[0.44.7， 0.44.7.3）
元数据库企业Edition@[1.45.4， 1.45.4.3）
元数据库企业Edition@[1.46.6， 1.46.6.4）
元数据库企业Edition@[1.44.7， 1.44.7.3）
元数据库企业Edition@[1.43.7， 1.43.7.3）
Metabase@[0.46.6， 0.46.6.4）
Metabase@[0.43.7， 0.43.7.3）
参考链接：https://www.oscs1024.com/hd/MPS-s5nj-29cx

GitHub

Metabase OSS and Enterprise <x.46.6.4
Metabase OSS and Enterprise <x.45.4.3
Metabase OSS and Enterprise <x.44.7.3
Metabase OSS and Enterprise <x.43.7.3
参考链接：https://github.com/metabase/metabase/security/advisories/GHSA-p7w3-9m58-rq83

处置方案

OSCS 平台处置参考
升级版本	将 Metabase 升级至 0.46.6.4、0.45.4.3 、0.44.7.3、0.43.7.3 及以上版本禁止通过网络访问 /api/setup/validate、/api/database、/api/database/：id 端点将 Metabase Enterprise Edition 升级至 0.46.6.4、0.45.4.3 、0.44.7.3、0.43.7.3及以上版本
参考链接	https://www.oscs1024.com/hd/MPS-s5nj-29cx

GitHub 官方库处置参考
升级版本	将 Metabase OSS and Enterprise升级至0.46.6.4,1.46.6.4,0.45.4.3.1,1.45.4.3,0.44.7.3,1.44.7.3,0.43.7.3,1.43.7.3版本。无法升级请禁止`POST /api/database，PUT /api/database/:id，POST /api/setup/validate`这些端点的连接如果使用 H2 作为基于文件的数据库，建议您迁移到 SQLite。
参考链接	https://github.com/metabase/metabase/security/advisories/GHSA-p7w3-9m58-rq83