Wszystkie wersje Hitachi Vantara Pentaho Data Integration & Analytics zawierają sterownik JDBC do baz danych H2, który umożliwia wykonanie zewnętrznych skryptów podczas tworzenia nowego połączenia z administratora źródła danych. Podatność jest krytyczna, ponieważ może prowadzić do zdalnego wykonania kodu (RCE) po stronie serwera.
▸ Pokaż oryginał (EN)
Hitachi Vantara Pentaho Data Integration & Analytics of all versions contain a JDBC driver for H2 databases which is vulnerable to external script execution when a new connection is created by a data source administrator.
Podczas tworzenia nowego połączenia z bazą danych H2 przez administratora źródła danych, wbudowany sterownik JDBC przetwarza parametry połączenia w sposób, który pozwala na uruchomienie zewnętrznych skryptów. Atakujący z uprawnieniami administratora źródła danych może skonstruować złośliwy ciąg połączenia JDBC, który wywoła wykonanie arbitralnego kodu lub skryptu po stronie serwera. Podatność ma zasięg wykraczający poza komponent (Scope: Changed), co oznacza, że skutki mogą objąć zasoby poza bezpośrednim środowiskiem aplikacji.
Atakujący posiadający uprawnienia administratora źródła danych może doprowadzić do pełnego naruszenia poufności, integralności i dostępności systemu, w tym do zdalnego wykonania kodu (RCE) na serwerze hostującym aplikację.
Należy zaktualizować oprogramowanie do wersji 10.2.0.7 lub 11.0.0.0 zgodnie z informacją producenta dostępną pod adresem wskazanym w referencjach. Dodatkowo zaleca się ograniczenie dostępu do funkcji zarządzania źródłami danych wyłącznie do zaufanych i zweryfikowanych administratorów.
Hitachi Vantara Pentaho Data Integration & Analytics – wszystkie wersje przed 10.2.0.7 oraz przed 11.0.0.0
Zgodnie z referencją producenta podatność została naprawiona w wersjach przed 10.2.0.7 oraz 11.0.0.0. Podatność wymaga uprawnień administratora (PR:H), co ogranicza powierzchnię ataku, jednak zakres oddziaływania wykracza poza aplikację (S:C).
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HHitachi Vantara Pentaho Data Integration And Analytics
APPHitachi< 10.2.0.7
Powiązane podatności
RCE przez brak restrykcji skryptów Groovy w raportach PRPT — Pentaho
Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.7 and 11.0.0.0, including 9.3.x an...
Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.6 and 11.0.0.0, including 9.3.x an...
Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.6 and 11.0.0.0, including 9.3.x an...
Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.1.0.0 and 9.3.0.6, including 9.5.x an...