关键漏洞信息 漏洞标题 Snowflake credentials logged by the Metabase backend 影响版本 受影响版本: 0.52.12-0.52.17.1, 0.52.12-1.52.17.1, 0.53.2.3-0.53.9.5, 1.52.17.1, 0.53.2.3-0.53.9.5, <0.54.1.5, 1.53.2.3-1.53.9.5, <0.54.1.5, <1.54.1.5 修复版本: 0.52.17.1, 0.53.9.5, 0.54.1.5, 1.52.17.1, 1.53.9.5, 1.54.1.5 描述 影响: 在某些条件下,连接到Snowflake数据仓库的Metabase实例会记录用户名和密码详细信息。日志由Metabase后端生成,默认为控制台日志,用户可以通过log4j2.xml配置文件覆盖。 细节: 当管理员在Metabase中更改Snowflake连接详细信息时,Metabase不会始终清除旧的Snowflake连接详细信息。为了删除过时的连接详细信息,Metabase会尝试一种连接方法,并清除所有其他连接方法。当找到有效的连接时,它会记录包含用户名和密码的日志。 修复措施 修复版本: 52.17.1, 53.9.5 和 54.1.5(适用于OSS和企业版) 变通方法: 将log4j2.xml的日志级别更改为WARN,以避免记录Snowflake凭据。 严重性 CVSS v4 基本指标 - 攻击向量: 网络 - 攻击复杂度: 低 - 攻击需求: 存在 - 所需权限: 高 - 用户交互: 主动 - 受影响系统影响指标: 无 - 后续系统影响指标: 低 CVE ID: CVE-2025-32382 弱点: 无 CWEs