请立即升级您的 Metabase

自本文发布以来，我们已修复了另一个漏洞。

TL;DR: 请立即升级您的 Metabase 安装。

最近发现的一个安全漏洞几乎肯定会影响到您（详情请见下文），我们建议您立即升级您的 Metabase 安装。

如果您是 Metabase 企业版客户

您可以通过以下方式获取最新修复版本：

• JAR: https://downloads.metabase.com/enterprise/v1.55.2/metabase.jar
• 通过 Docker 镜像：metabase/metabase-enterprise:latest 或 metabase/metabase-enterprise:v1.46.6.1。

如果您使用的是 Metabase 开源版

您可以通过以下方式获取最新修复版本：

• JAR: https://downloads.metabase.com/v0.55.2/metabase.jar
• 通过 Docker 镜像：metabase/metabase:latest 或 metabase/metabase:v0.46.6.1。

对于旧版 Metabase

我们还发布了以下版本，用于修补受此漏洞影响的旧版 Metabase：

• v0.45.4.1 和 v1.45.4.1
• v0.44.7.1 和 v1.44.7.1
• v0.43.7.2 和 v1.43.7.2

这些版本可在 https://github.com/metabase/metabase/releases 获取。

发生了什么？

我们接到一名第三方安全研究人员的通知，他们发现了 Metabase 中的一个漏洞。

此漏洞的严重性如何？

极其严重。未经身份验证的攻击者可以在您运行 Metabase 的服务器上，以 Metabase 服务器相同的权限运行任意命令。

此漏洞是否已被利用？

据我们目前所知，此漏洞尚未被利用。我们审计了自己的系统，未发现任何恶意使用此漏洞的情况。

如果我正在运行一个分支版本，我该怎么办？

请联系 help@metabase.com，我们将指导您修复系统。

我是否面临风险？

如果您不是 Metabase Cloud 用户，并且您正在运行 Metabase X.43 或更高版本，您将面临风险。请立即升级。

我是 Metabase Cloud 客户，我需要做任何事情吗？

您无需采取任何行动。我们一发现此漏洞，就立即修复并修补了您的 Metabase。我们还审计了所有客户实例的网络访问，未发现任何非渗透测试的此漏洞利用情况。

您会发布有关此漏洞的任何信息吗？

是的，我们将在两周后公开发布补丁、CVE 和解释。我们推迟发布是为了给我们的安装用户一些额外的时间，以防止此漏洞被广泛利用。