Se ha descubierto una vulnerabilidad de severidad alta en la plataforma Metabase. Un actor malicioso autenticado con pocos privilegios podría acceder a información confidencial de los sistemas afectados, incluyendo credenciales de acceso a bases de datos.
Productos afectados
- Metabase 0.57.x, versiones anteriores a 0.57.13.
- Metabase 0.58.x, versiones anteriores a 0.58.7.
- Metabase 1.57.x, versiones anteriores a 1.57.13.
- Metabase 1.58.x, versiones anteriores a 1.58.7.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-27464: con una puntuación de 7.7 en CVSS v3.1. Existe una vulnerabilidad de neutralización inadecuada de elementos especiales utilizados en un motor de plantillas. Un actor malicioso autenticado con bajos privilegios podría extraer información sensible, incluyendo credenciales de conexión a bases de datos, a través del cuerpo de correos electrónicos mediante la evaluación de plantillas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias