Hitachi Vantara Pentaho Business Analytics 安全漏洞

CNNVD-ID编号	CNNVD-202111-526	CVE编号	CVE-2021-31599
发布时间	2021-11-05	更新时间	2021-11-08
漏洞类型	其他	漏洞来源	N/A
危险等级	中危	威胁类型	N/A
厂商	N/A

漏洞介绍

Hitachi Vantara Pentaho Business Analytics是美国Hitachi Vantara公司的一个业务分析平台。用于安全地访问、集成、操作、可视化和分析大数据资产。 Hitachi Vantara Pentaho Business Analytics 9.1以及之前版本存在安全漏洞，该漏洞源于Pentaho 允许用户创建和运行 Pentaho 报告包 (.prpt)。用户可以使用 Pentaho Designer 应用程序创建 PRPT 报告，并且可以包含 BeanShell 脚本函数来简化复杂报告的生成。然而，当 Pentaho 业务分析运行 Pentaho PRPT 报告时，BeanShell 脚本函数可以允许执行任意 Java 代码。此功能允许任何具有足够权限的用户上传或编辑现有的 Pentaho Report Bundle（通过 Pentaho Designer）并在运行在 web 服务器上的 Pentaho 应用程序用户的上下文中执行任意代码。

漏洞补丁

目前厂商已发布升级了Hitachi Vantara Pentaho Business Analytics 安全漏洞的补丁，Hitachi Vantara Pentaho Business Analytics 安全漏洞的补丁获取链接： https://help.hitachivantara.com/Documentation/Pentaho/9.2