漏洞信息
尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Metabase: Arbitrary Code Execution via Database Connection Detail Bypass
Vulnerability Description
Metabase is an open-source business intelligence and embedded analytics tool. From 1.55.0 until 1.58.15.1, 1.59.12, 1.60.6.3, and 1.61.2, Metabase did not validate unsafe H2 connection properties on one database-creation code path, allowing an authenticated administrator to register a crafted H2 database connection and execute arbitrary Java code on the Metabase server. This issue is fixed in versions 1.58.15.1, 1.59.12, 1.60.6.3, and 1.61.2.
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Vulnerability Type
对生成代码的控制不恰当(代码注入)
Vulnerability Title
Metabase 代码注入漏洞
Vulnerability Description
Metabase是美国Metabase公司开源的一个开源数据分析平台。 Metabase 1.55.0版本至1.58.15.1之前版本、1.59.0版本至1.59.12之前版本、1.60.0版本至1.60.6.3之前版本和1.61.0版本至1.61.2之前版本存在代码注入漏洞,该漏洞源于未验证不安全H2连接属性,可能导致已认证管理员注册特制H2数据库连接并在Metabase服务器上执行任意Java代码。
CVSS Information
N/A
Vulnerability Type
N/A