CVE-2024-37359 in Pentaho Data Integration & Analytics
Riassunto
di VulDB • 17/06/2026
Il server web riceve un URL o una richiesta simile da un componente upstream e recupera il contenuto di tale URL, ma non garantisce sufficientemente che la richiesta venga inviata alla destinazione prevista. (CWE-918)
Hitachi Vantara Pentaho Business Analytics Server nelle versioni precedenti a 10.2.0.0 e 9.3.0.9, incluse le serie 8.3.x, non convalidano l'intestazione Host delle richieste HTTP/HTTPS in entrata.
Fornendo URL verso host o porte imprevisti, gli attaccanti possono far sembrare che il server stia inviando la richiesta, aggirando potenzialmente i controlli di accesso come firewall che impediscono agli attaccanti di accedere direttamente agli URL. Il server può essere utilizzato come proxy per eseguire scansione delle porte degli host nelle reti interne, utilizzare altri URL in grado di accedere ai documenti sul sistema (ad esempio tramite file://), o impiegare altri protocolli quali gopher:// o tftp://, che potrebbero offrire un maggiore controllo sui contenuti delle richieste.
If you want to get best quality of vulnerability data, you may have to visit VulDB.