Metabase assiégé : un exploit public transforme une faille critique en bombe à retardement pour l’entreprise

Tout a commencé comme un détail technique enfoui dans des bulletins de sécurité, mais c’est désormais une véritable crise cyber : Metabase Enterprise, le chouchou de l’intelligence décisionnelle des organisations orientées données, fait face à une faille critique d’exécution de code à distance (RCE) - désormais armée d’un exploit public, prête à exploser sur les systèmes non corrigés du monde entier.

La vulnérabilité, cataloguée sous CVE-2026-33725, n’est pas un bug ordinaire. En exploitant une faille dans la gestion des imports de sérialisation de l’édition Enterprise de Metabase - spécifiquement via une injection H2 JDBC INIT astucieuse - les attaquants peuvent sortir du bac à sable et prendre le contrôle total du système. Imaginez glisser une fausse clé passe-partout dans le système de sécurité d’un immeuble pendant qu’il vérifie les identités : soudain, l’attaquant peut ouvrir toutes les portes.

Les détails techniques sont ici essentiels. Lorsque Metabase traite un fichier d’import malveillant, il exécute des commandes arbitraires au niveau de la base de données. L’escalade peut être rapide, permettant aux attaquants d’exécuter du code à distance, de récolter des données confidentielles, voire de pivoter vers d’autres ressources du réseau.

Jusqu’à la semaine dernière, le risque restait surtout théorique - jusqu’à ce que Diego Tellaroli, chercheur chez Hakai Security, publie un exploit Python fonctionnel sur GitHub. Le script automatise l’attaque, abaissant la barrière pour les cybercriminels potentiels et augmentant la pression sur toutes les organisations utilisant des versions vulnérables de Metabase Enterprise (de la 1.47.0 à la 1.59.3).

Bien que la publication inclue un avertissement à but éducatif, les cybercriminels sont réputés pour transformer les codes de preuve de concept publics en armes. Les équipes de sécurité et de renseignement sur les menaces mènent désormais une course contre la montre : la fenêtre entre la divulgation publique et l’exploitation massive est notoirement courte.

La seule défense infaillible ? Corriger maintenant. Metabase a publié des versions corrigées (1.59.4, 1.58.10, 1.57.16) et les organisations sont vivement encouragées à mettre à jour immédiatement. Lorsque la correction n’est pas possible, les experts recommandent de restreindre l’accès réseau au panneau d’administration Metabase et de surveiller les journaux pour toute activité d’import suspecte.

Cet incident rappelle brutalement que, dans le paysage actuel des menaces, la distance entre une vulnérabilité technique et une urgence cyber mondiale se mesure en heures. Si votre Metabase Enterprise n’est pas à jour, il est temps d’agir.

WIKICROOK

• Exécution de code à distance (RCE) : L’exécution de code à distance (RCE) permet à un attaquant d’exécuter son propre code sur le système d’une victime, menant souvent à une prise de contrôle ou une compromission totale de ce système.
• Proof of Concept (PoC) : Une preuve de concept (PoC) est une démonstration prouvant qu’une faille de sécurité peut être exploitée, aidant les organisations à reconnaître et corriger les vulnérabilités.
• Sérialisation : La sérialisation convertit des données complexes en un format adapté au stockage ou au transfert réseau, facilitant la sauvegarde, le partage et la reconstruction de l’information.
• Injection JDBC INIT : L’injection JDBC INIT permet aux attaquants de manipuler l’initialisation JDBC, pouvant modifier le comportement ou la sécurité de la base de données. Une validation stricte des entrées et un code sécurisé peuvent la prévenir.
• Correctif : Un correctif est une mise à jour logicielle publiée pour corriger des vulnérabilités de sécurité ou des bugs, aidant à protéger les appareils contre les menaces et à améliorer la stabilité.