聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
德国网络安全公司 Hawsec 的研究员 Alberto Favero 和 Census Labs 公司的研究员 Altion Malka 发现,Hitachi Vantara 公司的 Pentaho 商业分析软件中存在多个漏洞,可被恶意人员用于上传任意数据文件,甚至在底层托管系统上执行任意代码。
Pentaho 是一个基于 Java 的商业智能平台,提供数据集成、分析、在线分析处理 (OLAP)和挖掘能力服务,很多大型企业和组织机构如贝尔、CERN、Cipal、Logitech、纳斯达克、Telefonica、Teradata 和 911国家纪念馆和博物馆等都是其客户。
这些缺陷影响 Pentaho 商业分析版本9.1及之前版本:
CVE-2021-31599(CVSS评分9.9):通过 Pentaho Report Bundles 实施的远程代码执行漏洞
CVE-2021-31600(CVSS评分4.3):Jackrabbit 用户枚举漏洞
CVE-2021-31601(CVSS评分7.1)数据来源管理的访问控制不充分漏洞
CVE-2021-31602(CVSS评分5.3)Spring API的认证绕过漏洞
CVE-2021-34684(CVSS评分9.8)未认证的 SQL 注入漏洞
CVE-2021-34685(CVSS评分2.7)文件名称扩展限制绕过
成功利用这些缺陷可导致具有充分角色许可的认证用户上传并运行 Pentaho Report Bundles,在主机服务器上运行恶意代码并提取敏感的应用程序数据,规避由应用程序执行的文件名称扩展限制并上传任意文件类型。
另外,低权限认证攻击者可利用这些漏洞检索凭据和所有 Pentaho 数据来源的连接详情,从而收割并传输数据,另外可使未认证用户在后端数据库上执行任意SQL查询并检索数据。
鉴于这些缺陷的严重性及其对底层系统带来的风险,强烈建议用户更新至最新版本。
推荐阅读
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
OpenSSF 获1000万美元投资,提升开源软件和软件供应链安全
原文链接
https://thehackernews.com/2021/11/critical-flaws-uncovered-in-pentaho.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~