AccueilActualités informatiqueDes failles critiques de logiciels malveillants menacent le logiciel de business intelligence...

Des failles critiques de logiciels malveillants menacent le logiciel de business intelligence Pentaho

Le logiciel d’intelligence économique Pentaho est disponible par l’intermédiaire de plusieurs « critique » sont vulnérables aux attaques. Il n’est pas encore clair s’il existe déjà une version protégée contre cela.

Les chercheurs en sécurité Alberto Favero (HawSec) et Altion Malka (Census Labs) mettent en garde contre ces vulnérabilités dans un rapport détaillé. Selon leurs propres informations, ils ont examiné la version Windows 64 bits Business Analytics 9.1.0.0-324 et ont découvert un total de six vulnérabilités. Deux d’entre elles (CVE-2021-31599, CVE-2021-31600) sont classées comme critiques.

Dans ce cas, un attaquant authentifié peut télécharger un fichier bundle de rapport modifié et exécuter du code malveillant en raison de la vulnérabilité des fonctions de script BeanShell. Dans le second cas, un attaquant non authentifié pourrait exécuter des requêtes SQL dans le backend, préviennent les chercheurs en sécurité.

Version sécurisée ?

Les lacunes restantes sont marquées par « faible » à « haut« . Si les attaquants parviennent à exploiter une vulnérabilité, ils peuvent contourner les mécanismes d’authentification, par exemple.

Dans le rapport des chercheurs en sécurité, seules des recommandations à l’intention des développeurs de Pentaho sur la manière de combler les lacunes apparaissent. Le texte ne mentionne pas de version patchée spécifique.

En réponse à une demande de heise Security, Hawsec a déclaré que, malgré les demandes de renseignements auprès d’Hitachi Vantara, il n’est pas clair pour eux si les correctifs de sécurité ont été intégrés et dans quelle version. Toutefois, ils supposent que les correctifs ont été mis en œuvre dans l’intervalle. Selon les chercheurs, l’implémentation était probablement prévue pour les versions 9.2 et 9.3. La réponse à une demande de renseignements adressée à Hitachi Vantara est toujours en attente.

[UPDATE 02.11.2021 12:55 Uhr]

Les chercheurs en sécurité impliqués sont nommés dans le corps du texte.

Plus d'articles