请立即升级您的 Metabase

我们自本文发布以来额外修复了一个漏洞。

简而言之：请立即升级您的 Metabase 安装。

最近发现的一个安全漏洞几乎肯定会影响到您（详情请见下文），我们强烈建议您立即升级您的 Metabase 安装。

如果您是 Metabase 企业版客户

您可以在以下地址访问最新的补丁版本：

• JAR: https://downloads.metabase.com/enterprise/latest/metabase.jar
• Docker 镜像通过 metabase/metabase-enterprise:latest 或 metabase/metabase-enterprise:v1.46.6.1。

如果您使用的是 Metabase 开源版

您可以在以下地址访问最新的补丁版本：

• JAR: https://downloads.metabase.com/latest/metabase.jar
• Docker 镜像通过 metabase/metabase:latest 或 metabase/metabase:v0.46.6.1。

对于旧版本的 Metabase

我们还发布了以下版本来修补受该漏洞影响的 Metabase 之前版本：

• v0.45.4.1 和 v1.45.4.1
• v0.44.7.1 和 v1.44.7.1
• v0.43.7.2 和 v1.43.7.2

这些版本可在 https://github.com/metabase/metabase/releases 获取。

发生了什么？

我们收到第三方安全研究人员的通知，他们发现了一个 Metabase 的漏洞。

该漏洞的严重程度如何？

极其严重。未经身份验证的攻击者可以在您运行 Metabase 的服务器上，以与 Metabase 服务器相同的权限运行任意命令。

是否已被利用？

据我们目前所知，尚未发现该漏洞被利用的情况。我们对自己的系统进行了审计，并未发现任何恶意使用。

如果我运行的是 fork 版本，我该怎么办？

请联系 help@metabase.com，我们将指导您修复系统。

我是否处于风险之中？

如果您不使用 Metabase Cloud，并且您运行的是 X.43 或更高版本的 Metabase，您就处于风险之中。请立即升级。

我是 Metabase Cloud 客户，我需要做什么吗？

您无需采取任何措施。我们一旦得知该漏洞，就已立即修复并更新了您的 Metabase。我们还审计了所有客户实例的网络访问，未能发现任何非测试性的利用该漏洞的情况。

您会发布关于该漏洞的任何信息吗？

是的，我们将在两周后公开发布补丁、CVE 以及详细解释。我们推迟发布是为了给我们的用户群体争取更多时间，以在漏洞被广泛利用之前完成更新。