CVE-2022-43939
Hitachi Vantara Pentaho Business Analytics Server - Use of Non-Canonical URL Paths for Authorization Decisions
En resumen
Pentaho Business Analytics Server utiliza URLs mal formateadas para verificar permisos, permitiendo que atacantes eludan las restricciones de seguridad mediante patrones de URL alternativos. Esto puede otorgar acceso no autorizado a características o datos sensibles.
Detalle técnico
La aplicación hace cumplir verificaciones de autorización basadas en rutas de URL no-canónicas, que pueden ser eludidas mediante solicitudes con codificaciones alternativas o patrones de traversal de rutas. Un atacante con acceso a la red puede enviar solicitudes malformadas para eludir controles de acceso y alcanzar recursos restringidos, afectando versiones anteriores a 9.4.0.1 y 9.3.0.2.
Resumen generado y traducido por IA a partir de la descripción oficial.
Hitachi Vantara Pentaho Business Analytics Server versions before 9.4.0.1 and 9.3.0.2, including 8.3.x contain security restrictions using non-canonical URLs which can be circumvented.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H
Productos afectados
Hitachi Vantara · Pentaho Business Analytics ServerPoCs públicas encontradas — 2
cve_referencepacketstormsecurity.com/files/172296/Pentaho-Business-Server-Authentication-Bypass-SSTI-Code-Execution.htmlno verificadoexploitdbwww.exploit-db.com/exploits/51350no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://packetstormsecurity.com/files/172296/Pentaho-Business-Server-Authentication-Bypass-SSTI-Code-Execution.htmlhttps://support.pentaho.com/hc/en-us/articles/14455394120333--Resolved-Pentaho-BA-Server-Use-of-Non-Canonical-URL-Paths-for-Authorization-Decisions-Versions-before-9-4-0-1-and-9-3-0-2-including-8-3-x-Impacted-CVE-2022-43939-https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-43939