Logiciel D'analyse Commerciale Pentaho

De multiples vulnérabilités ont été divulguées dans le logiciel Pentaho Business Analytics d’Hitachi Vantara qui pourraient être exploitées par des acteurs malveillants pour télécharger des fichiers de données arbitraires et même exécuter du code arbitraire sur le système hôte sous-jacent de l’application.

Les failles de sécurité ont été signalé par les chercheurs Alberto Favero de la société allemande de cybersécurité Hawsec et Altion Malka de Census Labs plus tôt cette année, incitant l’entreprise à problème correctifs nécessaires pour résoudre les problèmes.

Sauvegardes Github Automatiques

Pentaho est une plateforme de business intelligence basée sur Java qui offre des capacités d’intégration de données, d’analyse, de traitement analytique en ligne (OLAP) et d’exploration, et compte Majeur entreprises et organisations comme Bell, CERN, Cipal, Logitech, Nasdaq, Telefonica, Teradata et le Mémorial et musée national du 11 septembre parmi ses clients.

Logiciel D'analyse Commerciale Pentaho

La liste des failles, qui affectent les versions 9.1 et inférieures de Pentaho Business Analytics, est la suivante –

  • CVE-2021-31599 (score CVSS : 9,9) – Exécution de code à distance via les bundles de rapports Pentaho
  • CVE-2021-31600 (score CVSS : 4,3) – Énumération des utilisateurs de Jackrabbit
  • CVE-2021-31601 (score CVSS : 7.1) – Contrôle d’accès insuffisant de la gestion des sources de données
  • CVE-2021-31602 (score CVSS : 5,3) – Contournement d’authentification des API Spring
  • CVE-2021-34684 (score CVSS : 9,8) – Injection SQL non authentifiée
  • CVE-2021-34685 (score CVSS : 2,7) – Contournement des restrictions d’extension de nom de fichier

L’exploitation réussie des failles pourrait permettre aux utilisateurs authentifiés disposant d’autorisations de rôle suffisantes de télécharger et d’exécuter des Pentaho Report Bundles afin d’exécuter du code malveillant sur le serveur hôte et d’exfiltrer les données d’application sensibles, et de contourner les restrictions d’extension de nom de fichier imposées par l’application et de télécharger des fichiers de tout type.

Publicité
Prévenir Les Violations De Données

De plus, ils pourraient également être exploités par un attaquant authentifié à faible privilège pour récupérer les informations d’identification et les détails de connexion de toutes les sources de données Pentaho, permettant à la partie de récolter et de transmettre des données, en plus de permettre à un utilisateur non authentifié d’exécuter des requêtes SQL arbitraires sur le base de données principale et récupérer des données.

Compte tenu de la nature critique des failles et du risque qu’elles représentent pour le système sous-jacent, il est fortement recommandé aux utilisateurs de l’application de mettre à jour vers la dernière version.

Rate this post
Publicité
Article précédentLes clients se tournent vers la crypto avec un jeton de transfert, 1,5 milliard de dollars de dépôts liés à la crypto
Article suivantMeilleurs haut-parleurs d’ordinateur 2021 – Choix de musique, de films ou de jeux
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici