Pubblicato il 2026-07-09 · Fonte: NVD NIST
La vulnerabilità CVE-2026-59826 è stata scoperta in Metabase, uno strumento di business intelligence e analisi embedded. La vulnerabilità si verifica a causa della mancata validazione delle proprietà di connessione H2 non sicure in un percorso di creazione del database. Ciò consente a un amministratore autenticato di registrare una connessione H2 personalizzata e eseguire codice Java arbitrario sul server Metabase. La versione interessata va dalla 1.55.0 alla 1.58.15.1, 1.59.12, 1.60.6.3 e 1.61.2.
Un attaccante può sfruttare questa vulnerabilità per eseguire codice Java arbitrario sul server Metabase, potenzialmente portando a un controllo completo del sistema. I sistemi a rischio sono quelli che utilizzano le versioni di Metabase interessate e che consentono la registrazione di connessioni H2 personalizzate da parte degli amministratori.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare Metabase alle versioni 1.58.15.1, 1.59.12, 1.60.6.3 o 1.61.2. Inoltre, è importante limitare l'accesso amministrativo e monitorare le attività di registrazione delle connessioni H2 per prevenire abusi.
La vulnerabilità CVE-2026-59826 è una vulnerabilità di esecuzione di codice arbitrario in Metabase che consente a un amministratore autenticato di eseguire codice Java arbitrario sul server Metabase.
Le versioni di Metabase interessate vanno dalla 1.55.0 alla 1.58.15.1, 1.59.12, 1.60.6.3 e 1.61.2.
Per proteggersi da questa vulnerabilità, è necessario aggiornare Metabase alle versioni 1.58.15.1, 1.59.12, 1.60.6.3 o 1.61.2 e limitare l'accesso amministrativo.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.