セキュリティ研究者がMetabase Enterpriseの重大な脆弱性に対する実行可能なProof of Concept (PoC)エクスプロイトを公開しました。
CVE-2026-33725として追跡されている本セキュリティフローにより、攻撃者は遠隔コード実行(RCE)を実現し、対象システム上の任意のファイルを読み取ることができます。
公開エクスプロイトスクリプトの利用可能性により、パッチが適用されていない人気のあるデータ分析プラットフォームを実行している組織のリスクが大幅に増加します。
脆弱性の理解
この脆弱性は、Metabbaseのエンタープライズエディション(EE)シリアライゼーションインポート処理の弱点に起因しています。
具体的には、H2 JDBC INITインジェクションフローを含んでいます。建物のセキュリティシステムに偽造されたマスターキーを滑り込ませることを考えてみてください。同時に、新しい従業員のリストをインポートしています。
Metabbaseが悪意を持って作成されたインポートファイルを処理する場合、任意のデータベースコマンドをトリガーします。これは最終的に攻撃者にシステムレベルのコードを実行するか、ホストサーバに保存されている機密ファイルにアクセスする能力を与えます。
遠隔コード実行は、権限のないユーザーに侵害された環境に対する完全な制御を付与するため、最も深刻な種類の脆弱性の1つと広く考えられています。
影響を受けるMetabbaseバージョン
Metabase Enterpriseを使用している組織は、現在のソフトウェアバージョンをすぐに確認する必要があります。脆弱性は複数の特定のリリースブランチに影響を与えます。
以下のエンタープライズバージョンはこのエクスプロイトに対して脆弱です:
- バージョン1.47.0から1.54.21まで。
- バージョン1.55.0から1.55.21まで。
- バージョン1.56.0から1.56.21まで。
- バージョン1.57.0から1.57.15まで。
- バージョン1.58.0から1.58.9まで。
- バージョン1.59.0から1.59.3まで。
エクスプロイトのリリース
Pythonベースのエクスプロイトは、Hakai Securityに関連するセキュリティ研究者Diego Tellaroliによって最近GitHubに公開されました。
リポジトリには、CVE-2026-33725を悪用するために必要な攻撃チェーンを自動化するスクリプトが含まれています。
ツールは厳密な教育と研究免責事項を含んでいますが、その公開利用可能性は、脅威アクターが簡単にコードをダウンロードし、悪意のあるキャンペーンのために武器化できることを意味します。
Hakai Securityおよびそのクイメラックスインテリジェンスプラットフォームはしばしばこれらの知見を強調し、ベンダーおよび管理者が修復を加速させるよう奨励しています。
サイバー脅威インテリジェンスプラットフォームは、実際の悪用が始まる前にクライアントに警告するために、これらの正確なタイプの公開開示を監視します。
管理者はこの脆弱性のパッチを直ちに優先する必要があります。エクスプロイトはインポート機能の欠陥に依存しているため、Metabbaseを最新のセキュアリリース(1.59.4、1.58.10、1.57.16など)に更新することで脅威を中和します。
直ちにパッチを適用することができない場合、組織はMetabbaseアドミニストレーションパネルへのネットワークアクセスを制限し、疑わしいシリアライゼーションインポートリクエストについてシステムログを注視する必要があります。
翻訳元: https://gbhackers.com/metabase-enterprise-rce-flaw-public-proof-of-concept-exploit/
