Hitachi Vantara’nın Pentaho Business Analytics yazılımında, saldırganlar tarafından RCE saldırlarında kullanılabilecek zafiyetler tespit edildi.
Pentaho, veri entegrasyonu analitik, çevrimiçi analitik işleme (OLAP) ve madencilik yetenekleri sunan ayrıca Bell, CERN, Cipal, Logitech, Nasdaq, Telefonica, Teradata gibi büyük şirketlerinde içinde bulunduğu kuruluşlara Java tabanlı iş zekası platformu sunuyor. Ayrıca Ulusal 11 Eylül Anıtı ve Müzesi diğer müşterileri arasında.
Alman siber güvenlik firması Hawsec’ten araştırmacılar Alberto Favero ve Census Labs’tan Altion Malka tarafından bu yılın başlarında bildirilen güvenlik zafiyetleri,firma tarafında ses buldu ve güncelleme yayınlaması ile sonuçlandı.
Pentaho Business Analytics 9.1 ve daha düşük sürümlerini etkileyen zafiyetlerin listesi aşağıdaki gibi:
- CVE-2021-31599 (CVSS score: 9.9) – Remote Code Execution through Pentaho Report Bundles
- CVE-2021-31600 (CVSS score: 4.3) – Jackrabbit User Enumeration
- CVE-2021-31601 (CVSS score: 7.1) – Insufficient Access Control of Data Source Management
- CVE-2021-31602 (CVSS score: 5.3) – Authentication Bypass of Spring APIs
- CVE-2021-34684 (CVSS score: 9.8) – Unauthenticated SQL Injection
- CVE-2021-34685 (CVSS score: 2.7) – Bypass of Filename Extension Restrictions
Zafiyetlerden başarılı bir şekilde yararlanılması durumunda kimliği doğrulanmış kullanıcıların ana sunucuda kötü amaçlı kod çalıştırmak ve hassas uygulama verilerini erişmek için tüm haklara sahip olabiliyor.
Firma, zaman kaybetmeden en son sürüme yükseltme konusunda kullanıcılarını uyarıyor.