CVE-2022-43769
Hitachi Vantara Pentaho Business Analytics Server - Failure to Sanitize Special Elements into a Different Plane (Special Element Injection)
Em resumo
O servidor Pentaho permite que atacantes injetem código de template do Spring através de propriedades de serviços web, que é executado depois. Isso permite executar código arbitrário no servidor.
Detalhe técnico
Vulnerabilidade CWE-74 (Injeção de Elemento Especial) no Pentaho falha em sanitizar expressões de template do Spring em valores de propriedades antes de sua interpretação. Atacantes autenticados ou não podem injetar templates maliciosos através de endpoints de serviço web afetados; o processamento posterior interpreta esses templates, resultando em execução remota de código com privilégios do servidor.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Hitachi Vantara Pentaho Business Analytics Server prior to versions 9.4.0.1 and 9.3.0.2, including 8.3.x allow certain web services to set property values which contain Spring templates that are interpreted downstream.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Hitachi Vantara · Pentaho Business Analytics ServerPoCs públicas encontradas — 2
cve_referencepacketstormsecurity.com/files/172296/Pentaho-Business-Server-Authentication-Bypass-SSTI-Code-Execution.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/51350não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://packetstormsecurity.com/files/172296/Pentaho-Business-Server-Authentication-Bypass-SSTI-Code-Execution.htmlhttps://support.pentaho.com/hc/en-us/articles/14455561548301--Resolved-Pentaho-BA-Server-Failure-to-Sanitize-Special-Elements-into-a-Different-Plane-Special-Element-Injection-Versions-before-9-4-0-1-and-9-3-0-2-including-8-3-x-Impacted-CVE-2022-43769-https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-43769