SK-CERT Bezpečnostné varovanie V20250303-09

3. marca 2025

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.9

Identifikátor

Pentaho Business Analytics Server a Data Integration & Analytics – kritická bezpečnostná zraniteľnosť

Popis

Spoločnosť Pentaho, divízia spoločnosti Hitachi Vantara, vydala bezpečnostné aktualizácie na produkty Business Analytics Server a Data Integration & Analytics, ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých jedna je označená ako kritická.
Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-37361 sa nachádza v produkte Business Analytics Server, spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami používateľa vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Zneužitím ostatných bezpečnostných zraniteľností možno získať neoprávnený prístup k citlivým údajom, vykonať neoprávnené zmeny v systéme, spôsobiť zneprístupnenie služby a vykonať škodlivý kód.

Dátum prvého zverejnenia varovania

20.2.2025

CVE

CVE-2024-37361, CVE-2024-37362, CVE-2024-5705, CVE-2024-6697, CVE-2024-37360, CVE-2024-6696, CVE-2024-37359

IOC

–

Zasiahnuté systémy

CVE-2024-37361, CVE-2024-37360, CVE-2024-6696, CVE-2024-37359, CVE-2024-6697, CVE-2024-5705:
Hitachi Vantara Pentaho Business Analytics Server vo verzii staršej ako 10.2.0.0 a 9.3.0.9

CVE-2024-37362:
Hitachi Vantara Pentaho Data Integration & Analytics vo verzii staršej ako 10.2.0.0 a 9.3.0.8

Následky

Vykonanie škodlivého kódu
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby

Odporúčania

Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Pre dočasnú mitigáciu odporúčame postupovať podľa pokynov výrobcu uvedených na webových adresách uvedených v sekcii ZDROJE.

Zdroje

https://support.pentaho.com/hc/en-us/articles/34299135441805–Resolved-Hitachi-Vantara-Pentaho-Business-Analytics-Server-Deserialization-of-Untrusted-Data-Versions-before-10-2-0-0-and-9-3-0-9-including-8-3-x-Impacted-CVE-2024-37361
https://www.cvedetails.com/cve/CVE-2024-37361/
https://support.pentaho.com/hc/en-us/articles/34298351866893–Resolved-Hitachi-Vantara-Pentaho-Business-Analytics-Server-Improper-Neutralization-of-Input-During-Web-Page-Generation-Cross-site-Scripting-Versions-before-10-2-0-0-and-9-3-0-9-including-8-3-x-Impacted-CVE-2024-37360
https://support.pentaho.com/hc/en-us/articles/34296877157517–Resolved-Hitachi-Vantara-Pentaho-Business-Analytics-Server-Insufficient-Granularity-of-Access-Control-Versions-before-10-2-0-0-and-9-3-0-9-including-8-3-x-Impacted-CVE-2024-6696
https://support.pentaho.com/hc/en-us/articles/34296789835917–Resolved-Hitachi-Vantara-Pentaho-Business-Analytics-Server-Server-Side-Request-Forgery-Versions-before-10-2-0-0-and-9-3-0-9-including-8-3-x-Impacted-CVE-2024-37359
https://support.pentaho.com/hc/en-us/articles/34296654642701–Resolved-Hitachi-Vantara-Pentaho-Business-Analytics-Server-Improper-Handling-of-Insufficient-Permissions-or-Privileges-Versions-before-10-2-0-0-and-9-3-0-9-including-8-3-x-Impacted-CVE-2024-6697
https://support.pentaho.com/hc/en-us/articles/34296615099405–Resolved-Hitachi-Vantara-Pentaho-Business-Analytics-Server-Incorrect-Authorization-Versions-before-10-2-0-0-and-9-3-0-9-including-8-3-x-Impacted-CVE-2024-5705
https://support.pentaho.com/hc/en-us/articles/34296552220941–Resolved-Hitachi-Vantara-Pentaho-Data-Integration-Analytics-Insufficiently-Protected-Credentials-Versions-before-10-2-0-0-and-9-3-0-8-including-8-3-x-Impacted-CVE-2024-37362

« Späť na zoznam

Dôležité odkazy