CVE-2022-43939
Hitachi Vantara Pentaho Business Analytics Server - Use of Non-Canonical URL Paths for Authorization Decisions
Em resumo
O Pentaho Business Analytics Server usa URLs mal formatadas para verificar permissões, permitindo que atacantes contornem as restrições de segurança usando padrões de URL alternativos. Isso pode dar acesso não autorizado a funcionalidades ou dados sensíveis.
Detalhe técnico
A aplicação valida autorizações com base em caminhos de URL não-canônicos, que podem ser contornados através de requisições com codificações alternativas ou padrões de path traversal. Um atacante com acesso à rede pode enviar requisições malformadas para ultrapassar controles de acesso e alcançar recursos restritos, afetando versões anteriores à 9.4.0.1 e 9.3.0.2.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Hitachi Vantara Pentaho Business Analytics Server versions before 9.4.0.1 and 9.3.0.2, including 8.3.x contain security restrictions using non-canonical URLs which can be circumvented.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H
Produtos afetados
Hitachi Vantara · Pentaho Business Analytics ServerPoCs públicas encontradas — 2
cve_referencepacketstormsecurity.com/files/172296/Pentaho-Business-Server-Authentication-Bypass-SSTI-Code-Execution.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/51350não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://packetstormsecurity.com/files/172296/Pentaho-Business-Server-Authentication-Bypass-SSTI-Code-Execution.htmlhttps://support.pentaho.com/hc/en-us/articles/14455394120333--Resolved-Pentaho-BA-Server-Use-of-Non-Canonical-URL-Paths-for-Authorization-Decisions-Versions-before-9-4-0-1-and-9-3-0-2-including-8-3-x-Impacted-CVE-2022-43939-https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-43939