CVE-2021-45448 in Business Analytics Serverinformación

Resumen

por VulDB • 2026-05-13

Las versiones de Pentaho Business Analytics Server anteriores a 9.2.0.2 y 8.3.0.25 que utilizan el plugin Pentaho Analyzer exponen un punto final de servicio para plantillas que permite a un usuario proporcionar una ruta de acceso para acceder a recursos fuera de los límites permitidos. El software utiliza entrada externa para construir una ruta de acceso que se supone identifica un archivo o directorio ubicado debajo de un directorio padre restringido, pero el software no neutraliza adecuadamente los elementos especiales dentro de la ruta de acceso que pueden hacer que esta se resuelva en una ubicación fuera del directorio restringido. Al utilizar elementos especiales como ".." y separadores "/", los atacantes pueden escapar fuera de la ubicación restringida para acceder a archivos o directorios que se encuentran en otra parte del sistema.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

[email protected]

Reservar

2021-12-21

Divulgación

2022-11-02

Moderación

aceptado

Artículo

VDB-212855

CPE

listo

EPSS

0.00551

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!