🔴 严重 | CVE-2026-59827 — Metabase is an open-source business intelligence a...
🔴 《严重安全漏洞:CVE-2026-59827》
CVSS 评分: 严重(9.9) 状态: Received 发布时间: 2026-07-09
漏洞简介
CVE-2026-59827 是一个存在于 Metabase 开源商业智能与嵌入式分析工具中的反序列化漏洞。该漏洞源于 Metabase 在处理 H2 数据库连接(包括默认的示例数据库)时,对 H2 原生查询结果中类型为 OTHER 的列所返回的任意 Java 对象进行了反序列化操作,且未进行任何验证。具体而言,当 Metabase 实例配置了 H2 数据库连接时,经过身份验证且能够执行 H2 原生查询的用户,可以通过构造包含恶意 Java 对象的查询结果,触发不安全的反序列化(CWE-502),从而在 Metabase 服务器上执行任意代码。
该漏洞影响 Metabase 的多个版本,修复版本分别为 1.58.15、1.59.12、1.60.6.3 和 1.61.1.4。
影响范围
受影响版本:
- Metabase 版本低于 1.58.15
- Metabase 版本低于 1.59.12
- Metabase 版本低于 1.60.6.3
- Metabase 版本低于 1.61.1.4
修复版本:
- Metabase 1.58.15
- Metabase 1.59.12
- Metabase 1.60.6.3
- Metabase 1.61.1.4
影响条件:Metabase 实例必须配置了 H2 数据库连接(包括默认的示例数据库),且攻击者需要拥有有效的用户身份认证(Authenticated User)并具备执行 H2 原生查询的权限。
风险分析
- 攻击向量:网络远程攻击(AV:N),攻击者无需物理接触目标服务器。
- 攻击复杂度:低(AC:L),利用条件简单,仅需具备低权限用户身份(PR:L)即可发起攻击。
- 用户交互:无需用户交互(UI:N)。
- 影响范围:已变更(S:C),漏洞利用可能导致整个系统范围的安全影响,而不仅限于受影响的组件。
- 机密性影响:高(C:H),攻击者可能读取服务器上的任意敏感数据,包括数据库内容、配置文件、用户凭证等。
- 完整性影响:高(I:H),攻击者可以修改服务器上的数据或配置,甚至植入后门。
- 可用性影响:高(A:H),攻击者可能导致服务崩溃或完全控制服务器,造成服务中断。
综合风险等级:严重(Critical),CVSS 3.1 基础评分为 9.9(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)。
可能的攻击后果:
- 远程代码执行(RCE):攻击者通过精心构造的 H2 原生查询,利用反序列化漏洞在 Metabase 服务器上执行任意 Java 代码,从而完全控制服务器。
- 数据泄露:攻击者可窃取 Metabase 中存储的敏感数据,包括商业分析数据、数据库连接凭证、用户信息等。
- 横向移动:由于 Metabase 通常连接多个数据源,攻击者可能利用服务器权限进一步渗透内部网络,攻击其他数据库或服务。
- 持久化控制:攻击者可在服务器上安装恶意软件或后门,实现长期控制。
建议:所有使用受影响版本的 Metabase 用户应立即升级至修复版本(1.58.15、1.59.12、1.60.6.3 或 1.61.1.4),并检查是否已存在可疑的 H2 原生查询记录。同时,建议限制 H2 数据库连接的使用,或对可执行原生查询的用户进行严格的权限控制。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-59827 |
| CVSS 评分 | 9.9 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| CWE 分类 | CWE-502 |
| 发布时间 | 2026-07-09 |
| 最后更新 | 2026-07-09 |
| 状态 | Received |
| 数据来源 | security-advisories@github.com |
🔗 参考链接
💬 评论