Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
The Cyber Defender · 28.4., 08:09 · sikkerhet

PoC for Metabase Enterprise-feilen CVE-2026-33725 er offentlig: H2 INIT-trikset gir RCE via serialiseringsimport

SYNOPSIS_GENERERT

En autentisert admin i Metabase Enterprise kan kjøre kode på serveren via H2 JDBC INIT-injeksjon i POST /api/ee/serialization/import. Python-PoC ligger på GitHub. Metabase Cloud er rammet.

The Cyber Defender meldte 27. april at en proof-of-concept skrevet i Python er publisert på GitHub for CVE-2026-33725. Sårbarheten ligger i hvordan Metabase Enterprise behandler serialiseringsarkiver via POST /api/ee/serialization/import, og rammer alle Enterprise-versjoner med serialiseringsfunksjonen aktivert tilbake til minst v1.47. Open source-utgaven har ikke disse kodestiene og er ikke berørt.

Mekanismen er gjenkjennelig for alle som har slitt med H2-databasen før. En autentisert admin kan smugle inn en INIT-parameter i H2 JDBC-tilkoblingen via et ondsinnet serialiseringsarkiv. Ved neste databasesynkronisering eksekverer Metabase INIT=RUNSCRIPT-kommandoen, og angriperen får arbitrær SQL-kjøring som lett konverteres til kommandoeksekusjon på vertsmaskinen. Metabase Cloud er bekreftet rammet, så SaaS-kunder er ikke skjermet.

«Sårbarheten gjør business intelligence-administratorer om til en launchpad for ekstern kodekjøring. Cloud-deployments er ikke isolert fra trusselen.» — The Cyber Defender, 27. april

CVSS-vektoren er 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H) og klassifikasjonen er CWE-502, deserialisering av utiltrodd data. PR:H (privileges required: high) trekker scoren ned, men «admin-tilgang» betyr i praksis at én lekket eller delt admin-credential gir full RCE. Selvhostere som kjører Metabase Enterprise mot Postgres- eller MySQL-instanser med tilgang til kundedata bør anta at angriper-tilgang til admin-panelet er ekvivalent med shell-tilgang til serveren inntil patchen er på plass.

Metabase ga ut patcher 24. mars 2026, men PoC-en publisert nå senker terskelen for masseutnyttelse drastisk. Hvis du har kjørt en sårbar versjon eksponert mot internett, må du anta kompromittering og rotere alle credentials lagret på eller tilgjengelig fra Metabase-serveren.

Hva bør du gjøre?

  1. Patch eller skru av endepunktet. Oppgrader til en av de støttede versjonene (1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10, 1.59.4). Hvis du ikke kan patche umiddelbart, blokker POST /api/ee/serialization/import via reverse proxy eller WAF.
  2. Audit admin-loggene for uventet bruk av serialization import-API-et før patche-datoen. Se etter unormale påloggingstidspunkter og uventede admin-sessions.
  3. Roter alle hemmeligheter lagret på Metabase-serveren: database-credentials, API-nøkler, embed-secrets, OAuth-tokens. Anta lekkasje hvis instansen var eksponert mot internett.
Åpne eksternt kildedokument
sikkerhetverktøyselvhostet

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN