Sono state trovate vulnerabilità nel software Pentaho Business Analytics di Hitachi Vantara che potrebbero essere sfruttati da criminali per caricare file di dati falsi e persino eseguire codice.
I punti deboli della sicurezza sono stati segnalati dai ricercatori della società di sicurezza informatica tedesca Hawsec e Altion Malka all'inizio di quest'anno, spingendo l'azienda a rilasciare le patch necessarie per risolvere i problemi.
Pentaho è una piattaforma di business intelligence basata su Java che offre integrazione dei dati, analisi, elaborazione analitica online e capacità di mining ed tra gli utilizzatori conta conta Bell, CERN, Cipal, Logitech, Nasdaq, Telefonica, Teradata ecc.
Le vulnerabilità interessano le versioni 9.1 e precedenti di Pentaho Business Analyticse:
CVE-2021-31599 (punteggio CVSS: 9.9) - Esecuzione di codice remoto
CVE-2021-31600 (punteggio CVSS: 4.3) - Enumerazione utente
CVE-2021-31601 (punteggio CVSS: 7.1) - Controllo dell'accesso e origini dati
CVE-2021-31602 (punteggio CVSS: 5.3) - Bypass di autenticazione delle API Spring
CVE-2021-34684 (punteggio CVSS: 9.8) - SQL Injection non autenticato
CVE-2021-34685 (punteggio CVSS: 2,7) - Bypass delle restrizioni sull'estensione del nome file
Tali problemi permetterebbero ai malintenzionati di eseguire codice dannoso sul server host ed estrapolare dati sensibili dell'applicazione, eludere le restrizioni sull'estensione dei file imposte e caricare file di qualsiasi tipo.
Si ricorda di consultare il disclaimer
