Metabase - CVE-2026-27464
Date de publication :
Metabase est une plateforme open source d’analytics et de BI permettant d’explorer des données et de générer des tableaux de bord, notamment via des notifications et une configuration de connexions à des bases de données.
Une vulnérabilité dans Metabase, au niveau du mécanisme de notifications et de l’évaluation de templates côté serveur.
Un utilisateur authentifié à faibles privilèges peut fournir un contenu de template spécialement construit afin de déclencher une évaluation serveur via l’endpoint de notifications. Le rendu produit par cette évaluation est ensuite injecté dans le corps d’un email sortant, ce qui peut exposer des informations internes de l’instance.
Elle permet l’extraction d’informations sensibles, notamment des identifiants d’accès aux bases de données configurées dans Metabase.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Atteinte à la confidentialité des données
Exploitation
CWE-94 : Improper Control of Generation of Code ('Code Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Metabase versions antérieures à 0.57.13
• Metabase versions 0.58.x jusqu’à 0.58.6
Contournement provisoire
Solutions ou recommandations
• Metabase versions 0.58.7 et supérieures.
• Metabase Enterprise versions 1.57.13 et supérieures et 1.58.7 et supérieures.