CVE-2024-37359 in Pentaho Data Integration & Analyticsinformazioni

Riassunto

di VulDB • 17/06/2026

Il server web riceve un URL o una richiesta simile da un componente upstream e recupera il contenuto di tale URL, ma non garantisce sufficientemente che la richiesta venga inviata alla destinazione prevista. (CWE-918)



Hitachi Vantara Pentaho Business Analytics Server nelle versioni precedenti a 10.2.0.0 e 9.3.0.9, incluse le serie 8.3.x, non convalidano l'intestazione Host delle richieste HTTP/HTTPS in entrata.



Fornendo URL verso host o porte imprevisti, gli attaccanti possono far sembrare che il server stia inviando la richiesta, aggirando potenzialmente i controlli di accesso come firewall che impediscono agli attaccanti di accedere direttamente agli URL. Il server può essere utilizzato come proxy per eseguire scansione delle porte degli host nelle reti interne, utilizzare altri URL in grado di accedere ai documenti sul sistema (ad esempio tramite file://), o impiegare altri protocolli quali gopher:// o tftp://, che potrebbero offrire un maggiore controllo sui contenuti delle richieste.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

HITVAN

Prenotare

06/06/2024

Divulgazione

20/02/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00476

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!