Hitachi Vantara Pentaho未经信任的数据反序列化漏洞

admin 2025年2月21日23:47:57评论11 views字数 829阅读2分45秒阅读模式
Hitachi Vantara Pentaho未经信任的数据反序列化漏洞

漏洞描述:

应用程序在没有充分验证结果数据是否有效的情况下反序列化不受信任的数据,Hitасhi Vаntаrа Pеntаhо Buѕinеѕѕ Anаlуtiсѕ Sеrvеr版本在10.2.0.0和9.3.0.9之前包括 8.3.х,在反序列化不受信任的JSON数据时没有限制解析器只能使用经过批准的类和方法,当开发者对“小工具链”(即在反序列化过程中可能自我执行的一系列实例和方法调用)没有设置任何限制时(即在对象返回给调用者之前),攻击者有时可以利用它们来执行未经授权的操作。

影响产品及版本:

Hitachi Vantara Pentaho Business Analytics Server

受影响的版本为:

10.0<=Pentaho Data Integration & Analytics<10.2.0.0

1.0<=Pentaho Business Analytics Server<9.3.0.9

攻击场景:

攻击者可能通过上传恶意JSON数据对系统进行攻击

修复建议:

漏洞可能被用于拒绝服务和代码执行攻击,建议用户升级至最新版本

建议措施:

更新系统补丁,限制解析器只能使用经过批准的类和方法,强化输入验证

参考链接:

https://support.pentaho.com/hc/en-us/articles/34298351866893--Resolved-Hitachi-Vantara-Pentaho-Business-Analytics-Server-Improper-Neutralization-of-Input-During-Web-Page-Generation-Cross-site-Scripting-Versions-before-10-2-0-0-and-9-3-0-9-including-8-3-x-Impacted-CVE-2024-37360

原文始发于微信公众号(飓风网络安全):【漏洞预警】Hitachi Vantara Pentaho未经信任的数据反序列化漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月21日23:47:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Hitachi Vantara Pentaho未经信任的数据反序列化漏洞https://cn-sec.com/archives/3765618.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息