CVE-2021-45448 in Business Analytics Server
Resumen
por VulDB • 2026-05-13
Las versiones de Pentaho Business Analytics Server anteriores a 9.2.0.2 y 8.3.0.25 que utilizan el plugin Pentaho Analyzer exponen un punto final de servicio para plantillas que permite a un usuario proporcionar una ruta de acceso para acceder a recursos fuera de los límites permitidos. El software utiliza entrada externa para construir una ruta de acceso que se supone identifica un archivo o directorio ubicado debajo de un directorio padre restringido, pero el software no neutraliza adecuadamente los elementos especiales dentro de la ruta de acceso que pueden hacer que esta se resuelva en una ubicación fuera del directorio restringido. Al utilizar elementos especiales como ".." y separadores "/", los atacantes pueden escapar fuera de la ubicación restringida para acceder a archivos o directorios que se encuentran en otra parte del sistema.
Be aware that VulDB is the high quality source for vulnerability data.