Metabase Enterprise RCE Flaw Now Has Public Proof-of-Concept Exploit
2026/04/27 gbhackers — Metabase Enterprise の深刻な脆弱性 CVE-2026-33725 に対して、動作が確認済みの PoC エクスプロイトが公開された。 この脆弱性を悪用する攻撃者は、標的システム上でリモート・コード実行 (RCE) を実現し、任意ファイルの読み取りを引き起こす恐れがある。公開されたエクスプロイト・スクリプトの存在により、パッチ未適用のインスタンスを運用する組織のリスクが大幅に増大している。
脆弱性の詳細
この脆弱性は、Metabase Enterprise Edition (EE) におけるシリアライズ・インポート処理の不備に起因する。具体的には、H2 JDBC INIT インジェクションに関連する問題であり、新規ユーザー・リストのインポート処理中に偽造マスター・キーをセキュリティ・システムへ挿入するような挙動が発生する。
Metabase が細工されたインポート・ファイルを処理すると、任意のデータベース・コマンドが実行される。その結果として攻撃者は、システム・レベルでのコード実行/ホスト上に保存された機密ファイルへのアクセス権を取得などを可能にする。侵害環境の完全制御を攻撃者に与える RCE は、最も深刻な脆弱性の一つである。
影響を受ける Metabase バージョン
Metabase Enterprise を使用する組織は、現在のソフトウェア・バージョンを直ちに確認する必要がある。この脆弱性は複数のリリース・ブランチに影響する。影響を受ける Enterprise バージョンは以下の通りである。
- バージョン 1.47.0〜1.54.21
- バージョン 1.55.0〜1.55.21
- バージョン 1.56.0〜1.56.21
- バージョン 1.57.0〜1.57.15
- バージョン 1.58.0〜1.58.9
- バージョン 1.59.0〜1.59.3
エクスプロイトの公開
Python ベースのエクスプロイトが、Hakai Security のセキュリティ研究者 Diego Tellaroli により GitHub 上で公開されている。このリポジトリには、CVE-2026-33725 の攻撃チェーンを自動化するスクリプトが含まれている。このツールには、教育および研究を目的とする免責事項が付随しているが、攻撃者が容易に取得し、悪意のキャンペーンに利用することが可能である。
Hakai Security および QuimeraX Intelligence プラットフォームは、ベンダーおよび管理者に迅速な修正対応を促す目的で、調査結果を公開している。この種のサイバー脅威インテリジェンス・プラットフォームは公開情報を監視し、実環境での悪用が開始される前に警告を提供する。
対応策
管理者は、この脆弱性への対応を最優先とすべきである。このエクスプロイトはインポート機能の不備に依存するため、Metabase を修正済みの最新バージョン 1.54.22/1.55.22/1.56.22/1.57.16/1.58.10/1.59.4 に更新することでリスクを無効化できる。
即時のパッチ適用が困難な場合、Metabase 管理パネルへのネットワーク・アクセスを制限する必要がある。また、シリアライズ・インポート・リクエストに関する不審な挙動をシステム・ログで継続的に監視すべきである。
訳者後書:Metabase Enterprise の脆弱性 CVE-2026-33725 は、 データの取り込みを行うシリアライズ・インポート処理の不備に起因します。 本来は、安全に処理されるべきインポート・ファイルに、 データベースを操作する不正な命令が紛れ込むと、 攻撃者の意図通りにサーバが動かされてしまいます。 特に H2 JDBC INIT という設定の隙を突かれることで、 遠隔からコードが実行されたり機密ファイルが読み取られたりする危険があります。 ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.