【安全通报】Metabase 敏感信息泄露漏洞（CVE-2021-41277）

近日，metabase 爆出敏感信息泄露漏洞，该漏洞 CVSS3 评分高达 9.9。攻击者可在未经身份验证的情况下获取系统敏感信息。

漏洞描述

metabase 是一个简单、开源的数据分析平台。

CVE-2021-41277

在受影响的版本中，自定义 GeoJSON 地图（admin->settings->maps->custom maps->add a map）操作缺少权限验证，攻击者可通过该漏洞获得敏感信息。

该漏洞CVSS评分：9.9，危害等级：严重

CVE 编号

CVE-2021-41277

FOFA 查询

app="metabase"

影响范围

影响版本：

metabase version < 0.40.5
metabase version >= 1.0.0, < 1.40.5

修复版本：

metabase version >= 0.40.5
metabase version >= 1.40.5

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="metabase"）共有 9,058 个相关服务对外开放。美国使用数量最多，共有 4,357 个；德国第二，共有 548 个；中国第三，共有 519 个；爱尔兰第四，共有 488 个；新加坡第五，共有 443 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区广东使用数量最多，共有 49 个；北京第二，共有 46 个；浙江第三，共有 41 个；上海第四，共有 33 个；山东第五，共有 14 个。

Vulfocus 漏洞靶场环境

目前 Vulfocus 已经集成 Metabase 敏感信息泄露漏洞环境，可通过

docker pull vulfocus/metabase-cve_2021_41277:latest

进行拉取运行，也可通过 http://vulfocus.fofa.so/ 进行测试。

漏洞复现

修复建议

参考漏洞影响范围，及时升级至最新安全版本：https://github.com/metabase/metabase

参考

[1] https://github.com/metabase/metabase/security/advisories/GHSA-w73v-6p7p-fpfr

[2] https://github.com/metabase/metabase/commit/042a36e49574c749f944e19cf80360fd3dc322f0

[3] https://mp.weixin.qq.com/s/3C8jGMh75ZA7IiSZnjNgWA

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。