Metabase是一个开源数据分析平台。在受影响的版本中,已发现自定义 GeoJSON 地图(admin->settings->maps->custom maps->add a map)支持和潜在的本地文件包含(包括环境变量)存在安全问题。在加载之前未验证 URL。此问题已在新的维护版本(0.40.5 和 1.40.5)以及之后的任何后续版本中修复。如果您无法立即升级,您可以通过在反向代理或负载均衡器或 WAF 中包含规则以在应用程序之前提供验证过滤器来缓解这种情况。
<0.40.5和<1.40.5的版本存在漏洞。
https://nvd.nist.gov/vuln/detail/CVE-2021-41277
01.png
使用vulfocus.fofa.so上的环境进行复现,搜索
/api/geojson?url=file:/etc/passwd
02.png
漏洞描述 Metabase是一个开源数据分析平台。在受影响的版本中,已发现自定义 GeoJSON 地图(admin...
软件敏感信息 Web敏感信息 网络信息泄漏 第三方软件应用 敏感信息搜集工具 示例
为什么要加密通信 避免数据被抓包,敏感信息泄漏; 避免 Imposter Node 加入集群,获取敏感信息; 为节...
3.敏感信息泄漏 A:定义 网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损...
第四十四节课 敏感信息泄漏[https://www.bilibili.com/video/BV17A411j7Y...
简介 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在...
1.为什么使用metabase? Metabase is the easy, open source way fo...
问题提出 项目代码最近进行梆梆应用安全检测,被曝出存在剪切板敏感信息泄漏的中风险漏洞,需要修复。 问题分析 and...
Emlog是一款个人博客系统,使用的人还是非常多的,小巧方便,对于个人站长来说是一个建站的不错选择。今天要公布一...
银行流水数据不能随便泄漏,成人网站的浏览信息那可就更加敏感了。 最近,从Zoom到三星手机,从数据公司到娱乐明星,...
本文标题:CVE-2021-41277 Metabase 敏感信息泄漏
本文链接:https://www.haomeiwen.com/subject/ykfhxrtx.html
网友评论