អ្នកប្រើ Metabase ដែលជាកម្មវិធីឆ្លាតវៃពាណិជ្ជកម្មដ៏ពេញនិយមនិងការមើលឃើញទិន្នន័យ កំពុងតែត្រូវផ្តល់យោបល់ឱ្យធ្វើបច្ចុប្បន្នភាពទៅកាន់ជំនាន់ចុងក្រោយដោយសារតែការរកឃើញនូវបញ្ហាដ៏ធ្ងន់ធ្ងរដែលអាចបណ្តាលឱ្យមានការបញ្ជាកូដដោយគ្មានការផ្ទៀងផ្ទាត់នៅលើម៉ាសុីនដែលមានការដំឡើងផលប៉ះពាល់។
បញ្ហា CVE-2023-38646 ជាបញ្ហាប៉ះពាល់ដល់ជំនាន់ open-source មុនរហូតដល់ 0.46.6.1 និង Metabase Enterprise versions ជំនាន់មុន 1.46.6.1។ Metabase ថ្លែងនៅក្នុងការណែនាំកាលពីសប្តាហ៍មុនថា ហេគឃ័រមិនត្រូវការការផ្ទៀងផ្ទាត់អាចដំណើរការខំមិនតាមចិត្តជាមួយនឹងសិទ្ធិពិសេសដូច Metabase server នៅលើ server ដែលអ្នកកំពុងតែដំណើរការ Metabase។ បញ្ហាត្រូវបង្ហាញនៅក្នុងជំនាន់ 0.45.4.1 and 1.45.4.1, 0.44.7.1 and 1.44.7.1 និង 0.43.7.2 and 1.43.7.2។ ខណៈដែលគ្មានភស្តុតាងបង្ហាញថាបញ្ហាត្រូវកេងចំណេញ ទិន្នន័យប្រមូលដោយ Shadowserver Foundation បង្ហាញថា 5,488 នៃចំនួនសរុបចំនួន 6,936 Metabase instances ងាយរងគ្រោះកាលពីថ្ងៃទី២៦ ខែកក្កដា ឆ្នាំ២០២៣។ ភាគច្រើនកើតឡើងនៅប្រទេសអាមេរិក ឥណ្ឌា អាឡឺម៉ង់ បារាំង អង់គ្លេស ប្រេសុីល និងអូស្រ្តាលី។
ក្រុមហ៊ុន Assetnote ថ្លែងថា វារកឃើញនិងរាយការណ៍ពីបញ្ហាទៅកាន់ Metabase ដោយបញ្ជាក់ថាបញ្ហាភ្ជាប់ទៅបញ្ហា JDBC connection issue នៅក្នុង API endpoint “/api/setup/validate” ដែលអាចឱ្យហេគឃ័របញ្ច្រាស (reverse) shell នៅលើប្រព័ន្ធដោយមធ្យោបាយសំណើ crafted ដែលទាញយកផលប្រយោជន៍នៃការចាក់បញ្ចូលបញ្ហា SQP injection នៅក្នុង H2 database diver។ អ្នកប្រើមិនអាច patches ភ្លាមដើម្បីបិទសំណើទៅកាន់ /api/ setup endpoint ដែលប្រើសម្រាប់កាត់ផ្តាច់ Metabase instance ពីណែតវកផលិតផលរបស់អ្នក និងត្រួតពិនិត្យសំណើអាក្រក់ទៅ endpoint ទេ៕
