### 关键漏洞信息 #### 漏洞标题 Snowflake credentials logged by the Metabase backend #### 影响版本 - **受影响版本**: 0.52.12-0.52.17.1, 0.52.12-1.52.17.1, 0.53.2.3-0.53.9.5, 1.52.17.1, 0.53.2.3-0.53.9.5, <0.54.1.5, 1.53.2.3-1.53.9.5, <0.54.1.5, <1.54.1.5 - **修复版本**: 0.52.17.1, 0.53.9.5, 0.54.1.5, 1.52.17.1, 1.53.9.5, 1.54.1.5 #### 描述 - **影响**: 在某些条件下,连接到Snowflake数据仓库的Metabase实例会记录用户名和密码详细信息。日志由Metabase后端生成,默认为控制台日志,用户可以通过log4j2.xml配置文件覆盖。 - **细节**: 当管理员在Metabase中更改Snowflake连接详细信息时,Metabase不会始终清除旧的Snowflake连接详细信息。为了删除过时的连接详细信息,Metabase会尝试一种连接方法,并清除所有其他连接方法。当找到有效的连接时,它会记录包含用户名和密码的日志。 #### 修复措施 - **修复版本**: 52.17.1, 53.9.5 和 54.1.5(适用于OSS和企业版) - **变通方法**: 将log4j2.xml的日志级别更改为WARN,以避免记录Snowflake凭据。 #### 严重性 - **CVSS v4 基本指标** - 攻击向量: 网络 - 攻击复杂度: 低 - 攻击需求: 存在 - 所需权限: 高 - 用户交互: 主动 - 受影响系统影响指标: 无 - 后续系统影响指标: 低 - **CVE ID**: CVE-2025-32382 - **弱点**: 无 CWEs