Metabase 远程代码执行漏洞

Metabase是一个开源的数据分析和可视化工具，它可以帮助用户轻松地连接到各种数据源，包括数据库、云服务和API，然后使用直观的界面进行数据查询、分析和可视化。Metabase 在 0.46.6.1 版本之前的开源版本和 1.46.6.1 版本之前的企业版本中存在远程代码执行漏洞，可导致攻击者在服务器上以运行 Metabase 服务器的权限执行任意代码。

1、如果被攻击者利用，可直接getshell；
2、如果被攻击者利用，可被用于内网信息收集，扫描目标内网主机；
3、如果被攻击者利用，可攻击运行在内网或本地的应用程序；
4、如果被攻击者利用，可被用作攻击跳板；

一、临时缓解措施：
在确保业务不受影响的前提下，可暂时拦截对/api/session/properties接口的访问请求。
限制访问来源地址，如非必要，不要将系统开放在互联网上。
二、升级修复方案：
升级产品至最新版本。