CVE-2026-33725として追跡されているこの脆弱性は、脆弱なシステムでリモートコード実行(RCE)と任意ファイルアクセスを可能にします。
公開エクスプロイトが利用可能となった今、人気のデータ分析プラットフォームを使用している組織は即座に対応するよう警告されています。
この問題はMetabase Enterpriseがシリアライゼーションインポートを処理する方法の弱点に由来しています。具体的には、この脆弱性はH2 JDBC INITインジェクション脆弱性に関連しています。
簡単に言えば、この脆弱性はデータインポートプロセス中に攻撃者が悪意のあるコマンドを注入することを可能にします。
Metabaseが特別に細工されたインポートファイルを処理すると、攻撃者が制御するデータベース命令を無意識のうちに実行します。
これはホストマシンに保存されている機密ファイルを読み取ったり、任意のコードを実行したりする能力を含む、完全なシステム侵害につながる可能性があります。
セキュリティ専門家は、これを新しいユーザーの登録に忙しい建物のセキュリティシステムに偽造マスターキーを挿入することに例えています。システムは入力を信頼しますが、攻撃者は無制限のアクセスを獲得します。
リモートコード実行脆弱性は、場合によっては攻撃者が認証なしに影響を受けたシステムを完全に制御できるようにするため、非常に深刻と見なされています。
この脆弱性は複数のMetabase Enterpriseリリースブランチに影響します。以下のバージョンを実行している組織がリスクにさらされています:
これらの範囲内のパッチが適用されていないインスタンスは、エクスプロイトに対して脆弱です。
PoC エクスプロイトは、Hakai Securityのセキュリティ研究者Diego TellaroliによってGitHubに公開されました。
Pythonベースのスクリプトは、CVE-2026-33725をエクスプロイトするために必要な完全な攻撃チェーンを自動化し、攻撃者が複製することを容易にします。
リポジトリには教育的免責事項が含まれていますが、そのようなツールの公開利用可能性は、しばしば実世界のエクスプロイトを加速させます。
脅威行為者は、これらのスクリプトを露出したMetabaseインスタンスをターゲットにした自動化された攻撃キャンペーンにすばやく適応させることができます。
Hakai Securityは、そのQuimeraX Intelligenceプラットフォームを通じて、組織全体でより迅速な修復を促進するために、定期的にそのような脆弱性を公開しています。
これらのリリースにアップグレードすると、脆弱なインポート動作が削除され、エクスプロイト試行がブロックされます。
即座にパッチを適用することが実行可能でない場合、組織はMetabase管理インターフェースへのアクセスを制限し、信頼できるネットワークへの露出を制限し、疑わしいインポートまたはシリアライゼーション活動についてログを密接に監視する必要があります。
動作するエクスプロイトが既に流通している状況では、修復を遅延させると、組織はデータ侵害、システム侵害、およびエンタープライズ環境内での潜在的な横展開にさらされる可能性があります。
翻訳元: https://cyberpress.org/poc-exploit-released-for-critical-metabase-enterprise-rce-vulnerability/
