Pentaho商业分析软件中发现的关键缺陷

Hitachi Vantara的Pentaho Business Analytics软件中暴露了多个漏洞，恶意参与者可能会滥用这些漏洞上传任意数据文件，甚至在应用程序的底层主机系统上执行任意代码。

今年早些时候，德国网络安全公司Hawsec的研究人员Alberto Favero和人口普查实验室的Altion Malka报告了这些安全漏洞，促使该公司发布必要的补丁来解决这些问题。

Pentaho是一个基于Java的商业智能平台，提供数据集成、分析、在线分析处理（OLAP）和挖掘功能，并将Bell、CERN、Cipal、Logitech、Nasdaq、Telefonica、Teradata以及国家911纪念馆和博物馆等大公司和组织列入其客户名单。

影响Pentaho Business Analytics 9.1及更低版本的缺陷列表如下-

• （CVSS分数：9.9）-通过Pentaho报告包远程执行代码
• （CVSS分数：4.3）-Jackrabbit用户枚举
• CVE-2021-31601（CVSS分数：7.1）-数据源管理的访问控制不足
• CVE-2021-31602（CVSS得分：5.3）——Spring API的认证旁路
• CVE-2021-34684（CVSS分数：9.8）-未经验证的SQL注入
• CVE-2021-34685（CVSS分数：2.7）-绕过文件扩展限制

成功利用这些漏洞可以让具有足够角色权限的经过身份验证的用户上载和运行Pentaho Report Bundle，从而在主机服务器上运行恶意代码，过滤敏感的应用程序数据，并绕过应用程序强制实施的文件扩展名限制，上载任何类型的文件。

此外，经过低权限认证的攻击者还可以利用它们检索所有Pentaho数据源的凭据和连接详细信息，从而允许参与方获取和传输数据，此外，还可以让未经认证的用户在后端数据库上执行任意SQL查询并检索数据。

鉴于缺陷的严重性及其对底层系统构成的风险，强烈建议应用程序用户更新至最新版本。