Metabase geojson任意文件读取漏洞 (CVE-2021-41277)
| ID: | 16549 |
|---|---|
| 标题: | Metabase geojson任意文件读取漏洞 (CVE-2021-41277) |
| 描述: | Metabase geojson任意文件读取漏洞 (CVE-2021-41277) vulfocus/metabase-cve_2021_41277:latest etabase 是一个开源数据分析平台。在受影响的版本中,已发现自定义 GeoJSON 地图(`admin->settings->maps->custom maps->add a map`)支持和潜在的本地文件包含(包括环境变量)存在安全问题。URL 在加载之前未经过验证。此问题已在新的维护版本(0.40.5 和 1.40.5)以及之后的任何后续版本中得到修复。如果您无法立即升级,您可以通过在反向代理或负载均衡器或 WAF 中包含规则以在应用程序之前提供验证过滤器来缓解这种情况。 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | None |
| writeup: | 登录 https://vulfocus.cn 搜索Metabase geojson任意文件读取漏洞 (CVE-2021-41277) |