配置数据库 0.41.x < 0.41.7 / 0.42.x < 0.42.4 / 1.41.x < 1.41.7 / 1.42.x 1.42.4
high Nessus 插件 ID 261775
语言:
简介
远程主机受到漏洞影响。描述
远程主机上安装的 Metabase 版本低于 未知。因此受到 Metabase 的影响 是一种开源商业智能和分析应用程序。SQLite 具有称为“ATTACH DATABASE”的类似 FDW 的功能允许通过初始连接连接多个 SQLite 数据库。如果攻击者具有至少一个 SQLite 数据库的 SQL 权限则攻击者可将此数据库附加到第二个数据库然后可跨所有表格进行查询。为了实现这一点攻击者还需要知道第二个数据库的文件路径。建议用户尽快升级。如果无法升级,可以修改 SQLIte 连接字符串,以包含 url 参数“?limit_attached=0”,这样将不允许与其他 SQLite 数据库建立连接。只有使用 SQLite 的用户会受到影响。请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到配置数据库版本 Unknown 或更高版本。另见
插件详情
严重性: High
ID: 261775
文件名: metabase_CVE-2022-24854.nasl
版本: 1.1
类型: remote
系列: CGI abuses
发布时间: 2025/9/9
最近更新时间: 2025/9/9
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 9
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2022-24854
CVSS v3
风险因素: High
基本分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞信息
CPE: cpe:/a:metabase:metabase
必需的 KB 项: installed_sw/Metabase
补丁发布日期: 2022/4/14
漏洞发布日期: 2022/4/14
参考资料信息
CVE: CVE-2022-24854
CWE: CWE-610