📄 الوصف (الإنجليزية)
Metabase GeoJSON API Local File Inclusion Vulnerability — Metabase contains a local file inclusion vulnerability in the custom map support in the API to read GeoJSON formatted data.
🤖 ملخص AI
Metabase versions prior to 0.40.3 contain a critical local file inclusion (LFI) vulnerability in the GeoJSON API endpoint that allows unauthenticated attackers to read arbitrary files from the server. With a CVSS score of 9.0 and publicly available exploits, this vulnerability poses an immediate threat to organizations using Metabase for business intelligence and data visualization. Exploitation could lead to exposure of sensitive configuration files, database credentials, and other confidential data.
📄 الوصف (العربية)
🤖 التحليل الذكي آخر تحليل: Apr 21, 2026 09:12
🇸🇦 التأثير على المملكة العربية السعودية
Saudi organizations in banking (SAMA-regulated institutions), government agencies (NCA oversight), healthcare providers, and energy sector (ARAMCO and subsidiaries) using Metabase for analytics are at critical risk. The vulnerability enables unauthorized access to sensitive business intelligence data, financial reports, and operational metrics. Telecom operators (STC, Mobily, Zain) utilizing Metabase for network analytics and customer data visualization face potential exposure of subscriber information and network topology data. Government entities processing classified or sensitive national data through Metabase face compliance violations under NCA ECC 2024 and SAMA CSF frameworks.
🏢 القطاعات السعودية المتأثرة
Banking and Financial Services
Government and Public Administration
Healthcare and Medical Services
Energy and Utilities
Telecommunications
Insurance
Retail and E-commerce
🎯 تقنيات MITRE ATT&CK
⚖️ درجة المخاطر السعودية (AI)
9.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all Metabase instances in your environment and document their versions
2. Restrict network access to Metabase API endpoints, particularly /api/geojson/* paths, using WAF or network ACLs
3. Implement authentication requirements for all API endpoints if not already enabled
4. Review access logs for suspicious requests to GeoJSON endpoints (look for file path traversal patterns like ../ or encoded variants)
5. Audit exposed files for credential leakage and rotate any compromised credentials
PATCHING GUIDANCE:
1. Upgrade Metabase to version 0.40.3 or later immediately
2. For organizations unable to patch immediately, disable custom map functionality in Metabase settings
3. Test patches in non-production environments before deployment
COMPENSATING CONTROLS (if patching delayed):
1. Deploy Web Application Firewall (WAF) rules to block requests containing path traversal sequences to /api/geojson endpoints
2. Implement IP whitelisting to restrict Metabase API access to known internal networks only
3. Enable comprehensive API logging and monitoring for all GeoJSON requests
4. Implement rate limiting on API endpoints
DETECTION RULES:
1. Monitor for HTTP requests to /api/geojson/* containing: ../, %2e%2e%2f, ..\, %252e%252e%252f
2. Alert on any unauthenticated requests to /api/geojson endpoints
3. Track file access patterns in Metabase logs for /etc/passwd, /etc/shadow, configuration files
4. Monitor for unusual file read operations from Metabase process (strace/auditd)
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. حدد جميع مثيلات Metabase في بيئتك وقم بتوثيق إصداراتها
2. قيد الوصول إلى نقاط نهاية واجهة برمجة التطبيقات Metabase، خاصة مسارات /api/geojson/*، باستخدام WAF أو قوائم التحكم في الوصول
3. طبق متطلبات المصادقة لجميع نقاط نهاية واجهة برمجة التطبيقات إن لم تكن مفعلة بالفعل
4. راجع سجلات الوصول للطلبات المريبة إلى نقاط نهاية GeoJSON (ابحث عن أنماط اجتياز المسار مثل ../ أو المتغيرات المشفرة)
5. تدقيق الملفات المكشوفة لتسرب بيانات الاعتماد وتدوير أي بيانات اعتماد مخترقة
إرشادات التصحيح:
1. قم بترقية Metabase إلى الإصدار 0.40.3 أو أحدث على الفور
2. بالنسبة للمنظمات غير القادرة على التصحيح فوراً، قم بتعطيل وظيفة الخريطة المخصصة في إعدادات Metabase
3. اختبر التصحيحات في بيئات غير الإنتاج قبل النشر
الضوابط البديلة (إذا تأخر التصحيح):
1. نشر قواعد جدار الحماية لتطبيقات الويب (WAF) لحظر الطلبات التي تحتوي على تسلسلات اجتياز المسار إلى نقاط نهاية /api/geojson
2. تطبيق القائمة البيضاء للعناوين لتقييد الوصول إلى واجهة برمجة التطبيقات Metabase للشبكات الداخلية المعروفة فقط
3. تفعيل السجلات الشاملة والمراقبة لجميع طلبات GeoJSON
4. تطبيق تحديد معدل على نقاط نهاية واجهة برمجة التطبيقات
قواعد الكشف:
1. مراقبة طلبات HTTP إلى /api/geojson/* التي تحتوي على: ../, %2e%2e%2f, ..\, %252e%252e%252f
2. تنبيه على أي طلبات غير مصرح بها إلى نقاط نهاية /api/geojson
3. تتبع أنماط الوصول إلى الملفات في سجلات Metabase لـ /etc/passwd و /etc/shadow وملفات التكوين
4. مراقبة عمليات قراءة الملفات غير العادية من عملية Metabase (strace/auditd)
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
A.5.1.1 - Information Security Policies and Procedures
A.6.1.1 - Access Control Policy
A.6.2.1 - User Registration and De-registration
A.6.2.2 - User Access Provisioning
A.8.2.1 - Classification of Information
A.8.2.3 - Handling of Assets
A.12.4.1 - Event Logging
A.12.4.3 - Administrator and Operator Logs
A.14.2.1 - Secure Development Policy
🔵 SAMA CSF
ID.AM-2 - Software Inventory
PR.AC-1 - Access Control Policy
PR.AC-4 - Access Rights Management
PR.DS-1 - Data Security Management
PR.DS-2 - Data in Transit Protection
DE.AE-1 - Anomalies and Events Detection
DE.CM-1 - System Monitoring
RS.AN-1 - Characterization of Incident
🟡 ISO 27001:2022
A.5.1.1 - Policies for information security
A.6.1.1 - Information security roles and responsibilities
A.6.2.1 - User registration and access provisioning
A.8.1.1 - Inventory of assets
A.8.2.1 - Classification of information
A.12.4.1 - Event logging
A.14.2.1 - Secure development policy
A.14.2.5 - Secure development environment
🔗 المراجع والمصادر 0
لا توجد مراجع.
📦 المنتجات المتأثرة 1 منتج
Metabase:Metabase