30秒で判断
- 対応すべき人: MetabaseをH2データベース接続(デフォルトのサンプルDB含む)で運用している人
- 対応不要な人: MetabaseをH2接続なしで運用している人、すでに修正版へアップデート済みの人
- 確認コマンド: MetabaseのバージョンをAdminパネルまたは
/api/health等で確認し、1.58.15 / 1.59.12 / 1.60.6.3 / 1.61.1.4 以降かどうかをチェック
概要
Metabaseは、H2データベース接続(デフォルトのサンプルデータベースを含む)を利用している場合、ネイティブH2クエリの結果列(OTHER型)に含まれる値を検証なしにJavaオブジェクトとしてデシリアライズしてしまう問題があります。ネイティブH2クエリを実行できる認証済みユーザーが、Metabaseサーバー上で任意のコードを実行できる可能性があります。
CVSSベクトル
| 指標 | 値 |
|---|---|
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | Low |
| User Interaction | None |
| Scope | Changed |
| Confidentiality Impact | High |
| Integrity Impact | High |
| Availability Impact | High |
| CVSSスコア | 9.9 (Critical) |
影響を受けるソフトウェア
| 製品 | バージョン |
|---|---|
| Metabase (Open Source) | < 0.58.15 / < 0.59.12 / < 0.60.6.3 / < 0.61.1.4 |
| Metabase (Enterprise Edition) | < 1.58.15 / < 1.59.12 / < 1.60.6.3 / < 1.61.1.4 |
H2データベース接続(デフォルトのサンプルデータベースを含む)を有効にしているインスタンスが対象です。
修正バージョンと回避策
- 修正バージョン: 0.58.15 / 0.59.12 / 0.60.6.3 / 0.61.1.4(OSS)、1.58.15 / 1.59.12 / 1.60.6.3 / 1.61.1.4(EE)以降
- 直ちにアップデートできない場合は、H2データベース接続の利用停止、およびネイティブクエリを実行できるユーザーの権限見直しを検討してください。
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
