CVE-2021-41277

Оценки

Оценка EPSS

0.9440

CVSS

3.x 7.5

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Все оценки CVSS

CVSS 4.0

0.0

CVSS 3.x

7.5

Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS 2.0

5.0

Вектор: AV:N/AC:L/Au:N/C:P/I:N/A:N

Описание

Metabase - это платформа аналитики данных с открытым исходным кодом. В затронутых версиях была обнаружена проблема безопасности с помощью пользовательской карты GeoJSON (?admin->settings->maps->custom maps->add a map->add a map-) и потенциальной локальной внесением файлов (включая переменные среды). URL-адреса не были проверены до загрузки. Эта проблема исправлена в новом релизе обслуживания (0.40.5 и 1.40.5), и любой последующей релиз после этого. Если вы не можете немедленно обновиться, вы можете смягчить это, включив правила в свой обратный прокси или балансировщик нагрузки или WAF, чтобы предоставить фильтр проверки перед приложением.

Источники

nvd

CWE

CWE-22

Эксплойты

ID эксплойта: CVE-2021-41277

Источник: cisa

URL: https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Справочные ссылки

https://github.com/metabase/metabase/commit/042a36e49574c749f944e19cf80360fd3dc322f0

https://github.com/metabase/metabase/security/advisories/GHSA-w73v-6p7p-fpfr

Уязвимое ПО

Тип: Конфигурация

Поставщик: metabase

Продукт: metabase

Операционная система: * * *

Характеристика:

{
  "cpe_match": [
    {
      "cpe23uri": "cpe:2.3:a:metabase:metabase:0.40.0:-:*:*:-:*:*:*",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:metabase:metabase:0.40.1:*:*:*:-:*:*:*",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:metabase:metabase:0.40.2:*:*:*:-:*:*:*",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:metabase:metabase:0.40.3:*:*:*:-:*:*:*",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:metabase:metabase:0.40.4:*:*:*:-:*:*:*",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:metabase:metabase:1.40.0:-:*:*:enterprise:*:*:*",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:metabase:metabase:1.40.1:*:*:*:enterprise:*:*:*",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:metabase:metabase:1.40.2:*:*:*:enterprise:*:*:*",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:metabase:metabase:1.40.3:*:*:*:enterprise:*:*:*",
      "vulnerable": true
    },
    {
      "cpe23uri": "cpe:2.3:a:metabase:metabase:1.40.4:*:*:*:enterprise:*:*:*",
      "vulnerable": true
    }
  ],
  "operator": "OR"
}

Источник: nvd