聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

德国网络安全公司 Hawsec 的研究员 Alberto Favero 和 Census Labs 公司的研究员 Altion Malka 发现,Hitachi Vantara 公司的 Pentaho 商业分析软件中存在多个漏洞,可被恶意人员用于上传任意数据文件,甚至在底层托管系统上执行任意代码。

Pentaho 是一个基于 Java 的商业智能平台,提供数据集成、分析、在线分析处理 (OLAP)和挖掘能力服务,很多大型企业和组织机构如贝尔、CERN、Cipal、Logitech、纳斯达克、Telefonica、Teradata 和 911国家纪念馆和博物馆等都是其客户。

这些缺陷影响 Pentaho 商业分析版本9.1及之前版本:

  • CVE-2021-31599(CVSS评分9.9):通过 Pentaho Report Bundles 实施的远程代码执行漏洞

  • CVE-2021-31600(CVSS评分4.3):Jackrabbit 用户枚举漏洞

  • CVE-2021-31601(CVSS评分7.1)数据来源管理的访问控制不充分漏洞

  • CVE-2021-31602(CVSS评分5.3)Spring API的认证绕过漏洞

  • CVE-2021-34684(CVSS评分9.8)未认证的 SQL 注入漏洞

  • CVE-2021-34685(CVSS评分2.7)文件名称扩展限制绕过

成功利用这些缺陷可导致具有充分角色许可的认证用户上传并运行 Pentaho Report Bundles,在主机服务器上运行恶意代码并提取敏感的应用程序数据,规避由应用程序执行的文件名称扩展限制并上传任意文件类型。

另外,低权限认证攻击者可利用这些漏洞检索凭据和所有 Pentaho 数据来源的连接详情,从而收割并传输数据,另外可使未认证用户在后端数据库上执行任意SQL查询并检索数据。

鉴于这些缺陷的严重性及其对底层系统带来的风险,强烈建议用户更新至最新版本。

推荐阅读

热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码

开源软件 Cachet 被曝RCE漏洞

OpenSSF 获1000万美元投资,提升开源软件和软件供应链安全

美国正在统计外国政府在用的商业间谍软件

原文链接

https://thehackernews.com/2021/11/critical-flaws-uncovered-in-pentaho.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

很多大企业都在用的Pentaho 商业分析软件中存在多个严重缺陷相关推荐

  1. 为什么大企业都要做软文推广?怎么利用时事热点写好软文

    各位朋友们,大家好!今天云媒易又来给大家分享软文推广的干货知识啦!本篇咱们要给大家分享的内容是"为什么大企业都要做软文推广?怎么利用时事热点写好软文". 软文相对于硬广告而言,之所 ...

  2. 大企业都在用的协同办公软件,中小企业跟着选一定没错?

    随着我国网络的不断普及,以及移动智能终端用户量的不断攀升,人们的要求,已经从传统的OA办公,走向更高要求的移动办公.传统的办公已经无法满足企业日渐增长和变化的需求.协同办公应运而生. 一.什么是协同办 ...

  3. 什么是低代码开发,为何大企业都选择低代码来做数字化?

    近年来,数字化转型已经成为当前全行业共同关注的话题,对于传统行业,尤其是中小型企业而言,如何减少构建数字解决方案所花费的时间和资源,加速数字化升级,才是决胜数字化时代的关键.而在数字化转型" ...

  4. 企业管理者不得不看!现在的大企业都是怎么做文档管理的?

    最近有一位朋友问我:"如果是大型企业,文档该怎么管理?" 说实话,很多内部的CIO.CTO对这个问题都是束手无策.信息文件散乱.难以和内部的组织构架关联起来.查找困难.不同版本更新 ...

  5. 为什么BAT这些大企业都喜欢用LoRa技术?

    相信对于很多朋友来说LORA通讯协议还是比较陌生的,因为LORA这种通讯技术是在2016年开始才正式传入中国的.现在阿里.Google.腾讯等互联网巨头都已经加入了LORA联盟,最有意思的是亚马逊,它 ...

  6. 现在很多的企业都有自己的线上商城,那该怎么运营企业自己的线上商城呢?

    线上商城建立不难,但是线上商城运营起来却并不简单,据统计越有五成的企业建立了自己的线上商城,但有效进行线上商城运营的企业不到一成,因此如何有效的进行线上商城运营是许多企业面临的难题. 一般来说要做好线 ...

  7. 大企业都在用的开源 ForgeRock OpenAM 被曝预认证 RCE 0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 当地时间上周五,澳大利亚网络安全中心(ACSC)指出,攻击者利用ForgeRock OpenAM 中的一个预认证远程代码执行漏洞攻击大量澳 ...

  8. 很多大咖都在用,自媒体短视频文案怎么写?教你一条万能文案模板

    今天告诉大家一个做自媒体.短视频都可以用的爆款文案方式,谁用谁火,适合各行各业. 给大家总结了一个表格,不会写文案的伙伴可以找大周自行领取,点个赞继续看吧. 公式比较简单,就4步:现象+痛点+原因+解 ...

  9. 大企业喜欢使用外包人员驻场开发软件的原因解析

    很多大企业都有规模惊人的软件开发中心,除了一部分是企业自己招的人以外,有很大一部分并非是企业的正式员工,而是软件外包人员.那么这些大型企业为什么喜欢用外包人员驻场开发软件? 用人不必养人 项目多,任务 ...

最新文章

  1. 从头编写 asp.net core 2.0 web api 基础框架 (5) EF CRUD
  2. python 粒子动画_初试PyOpenGL四 (Python+OpenGL)GPU粒子系统与基本碰撞
  3. js中的正则表达式入门
  4. ML之RF:kaggle比赛之利用泰坦尼克号数据集建立RF模型对每个人进行获救是否预测
  5. 计算机专业和学历的关系!!重要!!
  6. 【Vscode】调试DotNet Core代码
  7. 在线学习新编程 技巧全攻略
  8. 疫情中的2021,云原生会走向哪里
  9. 数据分析实例:企业需要什么样的数据分析人才?
  10. 【Flink】Flink状态的缩放(rescale)与键组(Key Group)设计
  11. centos-stream-9安装chrome谷歌浏览器
  12. java 6 损坏,Java 异常处理六
  13. python数据结构之集合(set)——超详细
  14. 微软发布ASP.NET 5路线图
  15. 《Storm实时数据处理》一2.7 为日志流集群创建集成测试
  16. 《应届生求职笔试全攻略》学习笔记(八)——主要测试类型详解
  17. xp 无法关闭计算机,电脑xp系统关不了机怎么解决
  18. 机器视觉最火应用领域
  19. android m4a转mp3格式转换,音频提取格式转换app
  20. matebook14支持触摸屏吗_新款华为MateBook 14 2020款评测——触控屏来!

热门文章

  1. 给C#的oracle绿色版
  2. 遇到win7系统电脑没有声音了怎么解决
  3. 重磅!谷歌Fuchsia操作系统将支持运行Linux应用程序
  4. 10 款最新的 jQuery 内容滑块插件
  5. perl的几个小tips
  6. linux 系统权限相关知识
  7. VM虚拟机Linux克隆后网卡的相关操作
  8. Hibernate中的命名SQL查询
  9. 我的2015plan
  10. Toggle Buttons(二)