🔴 严重 | CVE-2026-59826 — Metabase is an open-source business intelligence a...
🔴 《严重安全漏洞:CVE-2026-59826》
CVSS 评分: 严重(9.1) 状态: Received 发布时间: 2026-07-09
漏洞简介
CVE-2026-59826 是一个存在于 Metabase 开源商业智能与嵌入式分析工具中的高危安全漏洞。该漏洞属于 CWE-94 分类(代码注入,Code Injection),CVSS 评分为 10.0(严重)。
在 Metabase 版本 1.55.0 至 1.58.15.1、1.59.12、1.60.6.3 以及 1.61.2 之前的版本中,系统在某个数据库创建代码路径(database-creation code path)上未能对不安全的 H2 数据库连接属性(unsafe H2 connection properties)进行有效验证。攻击者可以利用这一缺陷,以经过身份验证的管理员(authenticated administrator)身份注册一个精心构造的 H2 数据库连接,从而在 Metabase 服务器上执行任意 Java 代码(arbitrary Java code)。
该漏洞已在以下版本中得到修复:
- 1.58.15.1
- 1.59.12
- 1.60.6.3
- 1.61.2
影响范围
- 受影响软件:Metabase(开源版)
- 受影响版本:
- 从 1.55.0 开始,至 1.58.15.1(不含该版本)
- 从 1.55.0 开始,至 1.59.12(不含该版本)
- 从 1.55.0 开始,至 1.60.6.3(不含该版本)
- 从 1.55.0 开始,至 1.61.2(不含该版本)
- 不受影响版本:1.58.15.1、1.59.12、1.60.6.3、1.61.2 及更高版本
风险分析
- 攻击前提:攻击者需要拥有 Metabase 系统的管理员权限(authenticated administrator),即能够登录并管理数据库连接配置。
- 攻击方式:通过添加或修改一个 H2 数据库连接,在连接属性中注入恶意参数(例如利用 H2 数据库的
INIT或TRACE_LEVEL_SYSTEM_OUT等不安全属性),触发 Java 代码执行。 - 潜在后果:
- 远程代码执行(RCE):攻击者可以在 Metabase 服务器上执行任意 Java 代码,完全控制服务器。
- 数据泄露:攻击者可能读取、修改或删除 Metabase 存储的敏感数据,包括数据库凭据、用户信息、分析数据等。
- 横向移动:利用服务器权限,攻击者可能进一步攻击内部网络中的其他系统。
- 服务中断:恶意代码可能导致 Metabase 服务崩溃或资源耗尽,造成拒绝服务(DoS)。
- 严重性:由于 CVSS 评分为 10.0(最高严重级别),且攻击复杂度低(AC:L)、无需用户交互(UI:N)、影响范围广(S:C),该漏洞对使用受影响版本的 Metabase 实例构成极高风险。建议所有受影响用户立即升级至修复版本。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-59826 |
| CVSS 评分 | 9.1 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
| CWE 分类 | CWE-94 |
| 发布时间 | 2026-07-09 |
| 最后更新 | 2026-07-09 |
| 状态 | Received |
| 数据来源 | security-advisories@github.com |
🔗 参考链接
💬 评论