请立即升级您的 Metabase

自发布此帖子以来，我们已修补了另一个漏洞。

总结：请立即升级您的 Metabase 安装。

最近发现的一个安全漏洞几乎肯定会影响您（详情见下文），我们建议您立即升级 Metabase 安装。

如果您是 Metabase 企业版客户

您可以访问最新的已修补版本

• JAR：https://downloads.metabase.com/enterprise/latest/metabase.jar
• Docker 镜像通过 metabase/metabase-enterprise:latest 或 metabase/metabase-enterprise:v1.46.6.1。

如果您使用的是 Metabase 开源版

您可以访问最新的已修补版本

• JAR：https://downloads.metabase.com/latest/metabase.jar
• Docker 镜像通过 metabase/metabase:latest 或 metabase/metabase:v0.46.6.1。

对于旧版 Metabase

我们还发布了以下版本来修补受漏洞影响的旧版 Metabase

• v0.45.4.1 和 v1.45.4.1
• v0.44.7.1 和 v1.44.7.1
• v0.43.7.2 和 v1.43.7.2

这些版本可在 https://github.com/metabase/metabase/releases 获取。

发生了什么？

我们收到第三方安全研究人员的通知，他们发现 Metabase 存在漏洞。

漏洞的严重程度如何？

极其严重。未经身份验证的攻击者可以以与 Metabase 服务器相同的权限在您运行 Metabase 的服务器上运行任意命令。

是否已被利用？

据我们目前所知，尚未发现此漏洞被利用。我们审计了自己的系统，未发现任何恶意使用此漏洞的情况。

如果我正在运行一个分支，我该怎么办？

请联系 help@metabase.com，我们将指导您修补系统。

我是否有风险？

如果您未在 Metabase Cloud 上运行且正在运行 Metabase X.43 或更高版本，则您有风险。请立即升级。

我是 Metabase Cloud 客户，我需要做些什么吗？

您无需做任何事情。我们一发现漏洞，就立即修复并修补了您的 Metabase。我们还审计了所有客户实例的网络访问权限，未发现任何非渗透测试利用此漏洞的情况。

您会发布有关该漏洞的任何信息吗？

是的，我们将在两周内公开发布补丁、CVE 和解释。我们延迟发布是为了给我们的安装基础留出一点额外时间，以防止此漏洞被广泛利用。