hakaioffsec/CVE-2026-33725

# CVE-2026-33725 CVE-2026-33725 的概念验证漏洞利用程序，该漏洞为通过 Metabase EE 序列化导入中的 H2 JDBC INIT 注入实现远程代码执行和任意文件读取。 ## 受影响版本 - Metabase Enterprise ≥ v1.47 且 < v1.54.22 - Metabase Enterprise ≥ v1.54.0 且 < v1.54.22 - Metabase Enterprise ≥ v1.55.0 且 < v1.55.22 - Metabase Enterprise ≥ v1.56.0 且 < v1.56.22 - Metabase Enterprise ≥ v1.57.0 且 < v1.57.16 - Metabase Enterprise ≥ v1.58.0 且 < v1.58.10 - Metabase Enterprise ≥ v1.59.0 且 < v1.59.4 # 免责声明 本工具仅供教育和研究目的使用。请仅在您拥有或已获得明确测试授权的系统上使用。作者不对本程序的任何误用或造成的损害承担任何责任。 # QuimeraX Intelligence QuimeraX Intelligence 是一个先进的 EASM 和网络威胁情报平台，专注于识别复杂系统中的关键漏洞。该平台主动监控、检测并提醒客户注意安全威胁，确保针对潜在风险的透明度和快速响应。如果客户的系统被发现存在漏洞，他们将收到即时通知和全面的报告，从而能够采取保护措施。[了解更多](https://hakaisecurity.io/quimera-team/) # Hakai Security [Hakai Security](https://hakaisecurity.io/) 是一家由安全专业人员创立的网络安全公司，致力于追求技术卓越。我们提供量身定制的安全解决方案，包括高级渗透测试、逼真的红队演练以及安全的开发实践，主动保护客户资产免受不断演变的网络威胁。 # 参考资料 - https://nvd.nist.gov/vuln/detail/CVE-2026-33725 - https://github.com/metabase/metabase/security/advisories/GHSA-fppj-vcm3-w229

标签：0day, CISA项目, CVE-2026-33725, EASM, H2数据库, INIT注入, Java反序列化, JDBC注入, JS文件枚举, Maven, Metabase, PoC, RCE, 代码执行, 任意文件读取, 企业版, 威胁情报, 开发者工具, 数据展示, 无摄像头检测, 暴力破解, 漏洞验证, 红队, 编程工具, 网络安全, 远程代码执行, 隐私保护