Kritieke lacunes in kwaadaardige code bedreigen business intelligence-software Pentaho


De business intelligence software Pentaho is meer dan “kritisch“geclassificeerde beveiligingslekken kwetsbaar. Het is nog niet duidelijk of er al een versie tegen beveiligd is.

Beveiligingsonderzoekers van Hawsec waarschuwen voor de hiaten in een gedetailleerd verslag. Volgens eigen informatie onderzochten ze de Windows 64-bits versie Business Analytics 9.1.0.0-324 en ontdekten in totaal zes beveiligingslekken. Twee ervan (CVE-2021-31599, CVE-2021-31600) zijn geclassificeerd als kritiek.

Een geverifieerde aanvaller kan een voorbereid rapportbundelbestand uploaden en kwaadaardige code uitvoeren vanwege de kwetsbaarheid in BeanShell-scriptfuncties. In het tweede geval zou een onaangekondigde aanvaller SQL-query’s in de backend kunnen uitvoeren, waarschuwen de beveiligingsonderzoekers.

Beveiligde versie?

De resterende gaten zijn gemarkeerd met “laag” tot “hoogAls aanvallers een kwetsbaarheid met succes aanpakken, kunnen ze bijvoorbeeld authenticatiemechanismen omzeilen.

Het rapport van de beveiligingsonderzoekers bevat alleen aanbevelingen voor Pentaho-ontwikkelaars over hoe de mazen te dichten. De tekst noemt geen specifieke gepatchte versie.

Op een verzoek van heise Security antwoordde Hawsec dat het, ondanks een verzoek van Hitachi Vantara, voor hen onduidelijk was of en in welke versie de beveiligingspatches waren opgenomen. Ze gaan er echter vanuit dat de patches inmiddels zijn doorgevoerd. Volgens de onderzoekers was de implementatie waarschijnlijk bedoeld voor versies 9.2 en 9.3. Het antwoord op een verzoek aan Hitachi Vantara laat nog op zich wachten.


(van)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: