CVE-2021-41277

GeoJSON URL validation can expose server files and environment variables to unauthorized users

CVSS 10 CRITICALEPSS 96.9%● KEVCWE-200 CWE-22

En resumen

Metabase no validaba URLs al cargar mapas GeoJSON personalizados, permitiendo que atacantes accedieran a archivos sensibles y variables de entorno del servidor sin autorización.

Detalle técnico

CWE-200/CWE-22: La aplicación acepta URLs arbitrarias en el endpoint de configuración de mapas GeoJSON sin validación, habilitando ataques de falsificación de solicitud del lado del servidor (SSRF) e inclusión de archivo local (LFI). Un usuario no autenticado o con privilegios bajos puede cargar URLs tipo file:// para leer archivos locales y variables de entorno, exponiendo datos sensibles de configuración. Corregido en versiones 0.40.5, 1.40.5 y posteriores.

Resumen generado y traducido por IA a partir de la descripción oficial.

Metabase is an open source data analytics platform. In affected versions a security issue has been discovered with the custom GeoJSON map (`admin->settings->maps->custom maps->add a map`) support and potential local file inclusion (including environment variables). URLs were not validated prior to being loaded. This issue is fixed in a new maintenance release (0.40.5 and 1.40.5), and any subsequent release after that. If you’re unable to upgrade immediately, you can mitigate this by including rules in your reverse proxy or load balancer or WAF to provide a validation filter before the application.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:L

Productos afectados

metabase · metabase

PoCs públicas encontradas — 9

githubgithub.com/tahtaciburak/CVE-2021-41277★ 11 githubgithub.com/zer0yu/CVE-2021-41277★ 9 githubgithub.com/z3n70/CVE-2021-41277★ 5 githubgithub.com/Vulnmachines/Metabase_CVE-2021-41277★ 4 githubgithub.com/RubXkuB/PoC-Metabase-CVE-2021-41277★ 1 githubgithub.com/kaizensecurity/CVE-2021-41277★ 0 githubgithub.com/TheLastVvV/CVE-2021-41277★ 0 githubgithub.com/kap1ush0n/CVE-2021-41277★ 0 githubgithub.com/Henry4E36/Metabase-cve-2021-41277★ 0

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/metabase/metabase/commit/042a36e49574c749f944e19cf80360fd3dc322f0 https://github.com/metabase/metabase/security/advisories/GHSA-w73v-6p7p-fpfr https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-41277