つみかさね

CVE-2026-59827

Critical(9.9)

MetabaseのH2デシリアライゼーションRCE CVE-2026-59827:影響範囲と対応方法

公開日: 2026-07-14データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
MetabaseMetabase< 0.58.15 / 0.59.12 / 0.60.6.3 / 0.61.1.4 (OSS), < 1.58.15 / 1.59.12 / 1.60.6.3 / 1.61.1.4 (EE)

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1MetabaseでH2データベース接続(デフォルトのサンプルDB含む)を使用しているか確認する
  2. 20.58.15 / 0.59.12 / 0.60.6.3 / 0.61.1.4(OSS)または 1.58.15 / 1.59.12 / 1.60.6.3 / 1.61.1.4(EE)以降へアップデートする
  3. 3アップデートが難しい場合はH2接続の無効化やネイティブクエリ実行権限の見直しを行う

影響対象

Metabase利用者(H2データベース接続を有効にしている環境)

補足

  • -ネイティブクエリを実行できるユーザーが限定されている環境ではリスクは相対的に低くなります
CVEMetabaseデシリアライゼーションRCEH2

30秒で判断

  • 対応すべき人: MetabaseをH2データベース接続(デフォルトのサンプルDB含む)で運用している人
  • 対応不要な人: MetabaseをH2接続なしで運用している人、すでに修正版へアップデート済みの人
  • 確認コマンド: MetabaseのバージョンをAdminパネルまたは/api/health等で確認し、1.58.15 / 1.59.12 / 1.60.6.3 / 1.61.1.4 以降かどうかをチェック

概要

Metabaseは、H2データベース接続(デフォルトのサンプルデータベースを含む)を利用している場合、ネイティブH2クエリの結果列(OTHER型)に含まれる値を検証なしにJavaオブジェクトとしてデシリアライズしてしまう問題があります。ネイティブH2クエリを実行できる認証済みユーザーが、Metabaseサーバー上で任意のコードを実行できる可能性があります。

CVSSベクトル

指標
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredLow
User InteractionNone
ScopeChanged
Confidentiality ImpactHigh
Integrity ImpactHigh
Availability ImpactHigh
CVSSスコア9.9 (Critical)

影響を受けるソフトウェア

製品バージョン
Metabase (Open Source)< 0.58.15 / < 0.59.12 / < 0.60.6.3 / < 0.61.1.4
Metabase (Enterprise Edition)< 1.58.15 / < 1.59.12 / < 1.60.6.3 / < 1.61.1.4

H2データベース接続(デフォルトのサンプルデータベースを含む)を有効にしているインスタンスが対象です。

修正バージョンと回避策

  • 修正バージョン: 0.58.15 / 0.59.12 / 0.60.6.3 / 0.61.1.4(OSS)、1.58.15 / 1.59.12 / 1.60.6.3 / 1.61.1.4(EE)以降
  • 直ちにアップデートできない場合は、H2データベース接続の利用停止、およびネイティブクエリを実行できるユーザーの権限見直しを検討してください。

関連リンク


データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。