Metabase

Die Schwachstelle betrifft die Open-Source-Analyseplattform Metabase, konkret die Unterstützung für eigene GeoJSON-Karten in der Administrationsoberfläche. Dort lässt sich eine benutzerdefinierte Karte über eine URL hinzufügen, die auf eine GeoJSON-Datendatei verweist. Das Problem: Diese URL wurde vor dem Laden nicht geprüft. Dadurch kann ein Angreifer die Funktion zweckentfremden und über die zuständige API beliebige lokale Dateien des Servers einbinden und auslesen – ein sogenanntes Local File Inclusion. Betroffen sind auch Umgebungsvariablen, in denen häufig sensible Konfigurationsdaten und Zugangsschlüssel hinterlegt sind. Statt einer Kartendatei greift der Angreifer also auf interne Ressourcen des Systems zu, die eigentlich nicht nach außen gelangen sollten. Wer eine verwundbare Metabase-Instanz betreibt, riskiert damit die Preisgabe vertraulicher serverseitiger Informationen.