🔴 《严重安全漏洞:CVE-2026-59827》

CVSS 评分: 严重(9.9)  状态: Received  发布时间: 2026-07-09


漏洞简介

CVE-2026-59827 是一个存在于 Metabase 开源商业智能与嵌入式分析工具中的反序列化漏洞。该漏洞源于 Metabase 在处理 H2 数据库连接(包括默认的示例数据库)时,对 H2 原生查询结果中类型为 OTHER 的列所返回的任意 Java 对象进行了反序列化操作,且未进行任何验证。具体而言,当 Metabase 实例配置了 H2 数据库连接时,经过身份验证且能够执行 H2 原生查询的用户,可以通过构造包含恶意 Java 对象的查询结果,触发不安全的反序列化(CWE-502),从而在 Metabase 服务器上执行任意代码。

该漏洞影响 Metabase 的多个版本,修复版本分别为 1.58.15、1.59.12、1.60.6.3 和 1.61.1.4。

影响范围

  • 受影响版本

    • Metabase 版本低于 1.58.15
    • Metabase 版本低于 1.59.12
    • Metabase 版本低于 1.60.6.3
    • Metabase 版本低于 1.61.1.4
  • 修复版本

    • Metabase 1.58.15
    • Metabase 1.59.12
    • Metabase 1.60.6.3
    • Metabase 1.61.1.4
  • 影响条件:Metabase 实例必须配置了 H2 数据库连接(包括默认的示例数据库),且攻击者需要拥有有效的用户身份认证(Authenticated User)并具备执行 H2 原生查询的权限。

风险分析

  • 攻击向量:网络远程攻击(AV:N),攻击者无需物理接触目标服务器。
  • 攻击复杂度:低(AC:L),利用条件简单,仅需具备低权限用户身份(PR:L)即可发起攻击。
  • 用户交互:无需用户交互(UI:N)。
  • 影响范围:已变更(S:C),漏洞利用可能导致整个系统范围的安全影响,而不仅限于受影响的组件。
  • 机密性影响:高(C:H),攻击者可能读取服务器上的任意敏感数据,包括数据库内容、配置文件、用户凭证等。
  • 完整性影响:高(I:H),攻击者可以修改服务器上的数据或配置,甚至植入后门。
  • 可用性影响:高(A:H),攻击者可能导致服务崩溃或完全控制服务器,造成服务中断。

综合风险等级严重(Critical),CVSS 3.1 基础评分为 9.9(AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)。

可能的攻击后果

  1. 远程代码执行(RCE):攻击者通过精心构造的 H2 原生查询,利用反序列化漏洞在 Metabase 服务器上执行任意 Java 代码,从而完全控制服务器。
  2. 数据泄露:攻击者可窃取 Metabase 中存储的敏感数据,包括商业分析数据、数据库连接凭证、用户信息等。
  3. 横向移动:由于 Metabase 通常连接多个数据源,攻击者可能利用服务器权限进一步渗透内部网络,攻击其他数据库或服务。
  4. 持久化控制:攻击者可在服务器上安装恶意软件或后门,实现长期控制。

建议:所有使用受影响版本的 Metabase 用户应立即升级至修复版本(1.58.15、1.59.12、1.60.6.3 或 1.61.1.4),并检查是否已存在可疑的 H2 原生查询记录。同时,建议限制 H2 数据库连接的使用,或对可执行原生查询的用户进行严格的权限控制。


🔍 技术细节

字段
CVE ID CVE-2026-59827
CVSS 评分 9.9 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE 分类 CWE-502
发布时间 2026-07-09
最后更新 2026-07-09
状态 Received
数据来源 security-advisories@github.com

🔗 参考链接