漏洞描述
Metabase是一个开源的数据分析和可视化工具,它可以帮助用户轻松地连接到各种数据源,包括数据库、云服务和API,然后使用直观的界面进行数据查询、分析和可视化。CVE-2023-37470 中,由于metabase中存在 h2 数据库连接配置,且过滤不严格,攻击者可构造恶意请求触发h2 JDBC 命令执行。
Metabase H2 远程代码执行漏洞
PoC代码
暂无相关漏洞推荐
-
CVE-2021-41277: Metabase 输入验证错误漏洞 POC
2025-09-01 | Metabase在受影响的版本中,自定义 GeoJSON 地图(admin->settings->maps->custom maps->add a map)操作缺少权限验证,攻击者可通过该漏洞... -
CVE-2023-38646: Metabase 远程命令执行漏洞 RCE POC
2025-09-01 | MetabaseMetabase 是开源的数据分析和可视化工具,支持多种数据源连接,包括数据库、云服务和API。未经身份认证的远程攻击者利用该漏洞可以在服务器上以运行 Metabase 服务器的权限执行任意命令。值得... -
CVE-2021-41277: Metabase - Local File Inclusion POC
2025-08-01 | MetabaseMetabase is an open source data analytics platform. In affected versions a local file inclusion secu... -
LemonLDAP::NG 操作系统命令注入漏洞 无POC
2025-09-20 00:03:21 | LemonLDAP::NGLemonLDAP::NG是LemonLDAP::NG开源的一套Web单点登录和访问管理软件。 LemonLDAP::NG 2.16.7之前版本和2.17版本至2.21.3之前版本存在操作系统命令注入... -
万户OA informationmanager_upload.jsp 任意文件上传漏洞 无POC
2025-09-19 | 万户OA万户OA存在任意文件上传漏洞,攻击者可以访问恶意链接使服务器下载恶意文件,从而达到上传文件目的,获取服务器权限。