Исследователи безопасности опубликовали рабочий эксплойт для критической уязвимости в платформе аналитики данных Metabase Enterprise. Проблема, получившая идентификатор CVE-2026-33725, позволяет злоумышленнику удаленно выполнять код и читать произвольные файлы на целевых системах. Появление публичного скрипта резко повышает риски для организаций, которые еще не установили исправления.
Суть проблемы: инъекция через импорт сериализации
Уязвимость кроется в механизме обработки импорта данных корпоративной версии Metabase. Разработчики допустили ошибку при работе с H2 JDBC INIT injection - внедрением команд через строку инициализации базы данных H2. Если проводить аналогию, это похоже на то, как злоумышленник подсовывает поддельный мастер-ключ в систему безопасности здания в тот самый момент, когда она занята загрузкой списка новых сотрудников.
Когда Metabase обрабатывает специально сформированный файл импорта, срабатывают произвольные команды базы данных. В итоге атакующий получает возможность выполнять системные команды или получать доступ к конфиденциальным файлам на сервере. Удаленное выполнение кода (Remote Code Execution, RCE) считается одним из самых опасных типов уязвимостей, поскольку оно дает неавторизованному пользователю полный контроль над скомпрометированной средой.
Какие версии под ударом
Организациям, использующим Metabase Enterprise, необходимо немедленно проверить номер установленной версии. Уязвимость затрагивает несколько веток релизов. В зоне риска находятся версии с 1.47.0 по 1.54.21 включительно, с 1.55.0 по 1.55.21, с 1.56.0 по 1.56.21, с 1.57.0 по 1.57.15, с 1.58.0 по 1.58.9, а также с 1.59.0 по 1.59.3. Каждая из этих сборок содержит дефект, позволяющий реализовать атаку.
Публикация эксплойта: подробности
Скрипт эксплойта, написанный на Python, недавно появился на GitHub. Его автором стал Диего Теллароли - исследователь безопасности, связанный с компанией Hakai Security. Репозиторий содержит автоматизированную последовательность действий, необходимую для эксплуатации CVE-2026-33725. Несмотря на то что инструмент сопровождается строгим предупреждением об образовательных и исследовательских целях, его общедоступность означает, что злоумышленники могут легко загрузить и адаптировать код для вредоносных кампаний.
Hakai Security и ее платформа киберразведки QuimeraX часто публикуют подобные находки, чтобы стимулировать вендоров и администраторов ускорять устранение уязвимостей. Платформы мониторинга угроз как раз отслеживают такие общедоступные раскрытия, чтобы предупредить клиентов до того, как начнется активная эксплуатация в реальных условиях.
Последствия и риски
Наличие готового эксплойта превращает уязвимость из теоретической угрозы в практическую. Теперь для проведения атаки не требуется глубоких знаний или длительной подготовки - достаточно скачать скрипт и запустить его против незащищенной инстанции Metabase. Особенно уязвимы компании, которые не следят за обновлениями или затягивают с установкой патчей. В случае успешной атаки злоумышленник может выкрасть базы данных, нарушить работу аналитических сервисов или использовать сервер как плацдарм для дальнейших вторжений.
Что делать администраторам
Приоритетная мера - как можно скорее обновить Metabase до защищенных версий. Разработчики уже выпустили исправления в сборках 1.59.4, 1.58.10 и 1.57.16. Установка патча полностью устраняет угрозу, поскольку эксплойт опирается именно на дефект в функции импорта. Если немедленное обновление невозможно, следует ограничить сетевой доступ к панели администрирования Metabase. Кроме того, необходимо внимательно мониторить системные журналы на предмет подозрительных запросов на импорт сериализованных данных. Любые попытки загрузить файл в обход обычных процедур должны вызывать настороженность.
В долгосрочной перспективе стоит внедрить процесс регулярного аудита версий используемого ПО. Даже если компания не считает себя приоритетной целью, такие инциденты показывают: зрелые платформы с открытой моделью распространения эксплойтов становятся мишенью для массовых сканирований. Промедление с обновлением оборачивается прямыми финансовыми потерями и утечками данных.
На данный момент CVE-2026-33725 представляет собой одну из самых серьезных угроз для пользователей Metabase Enterprise. Публичный эксплойт делает промедление недопустимым. Администраторам рекомендовано действовать уже сегодня, не дожидаясь, пока система будет скомпрометирована.
Ссылки
- https://github.com/hakaioffsec/CVE-2026-33725
- https://www.cve.org/CVERecord?id=CVE-2026-33725
- https://github.com/metabase/metabase/security/advisories/GHSA-fppj-vcm3-w229
