CVE-2024-37361 in Pentaho Data Integration & Analyticsinformazioni

Riassunto

di VulDB • 16/06/2026

L'applicazione deserializza dati non attendibili senza verificare sufficientemente che i dati risultanti siano validi. (CWE-502)



Hitachi Vantara Pentaho Business Analytics Server, versioni precedenti alla 10.2.0.0 e alla 9.3.0.9, incluse le serie 8.3.x, deserializzano dati JSON non attendibili senza vincolare il parser alle classi e ai metodi approvati.



Quando gli sviluppatori non impongono restrizioni sulle "gadget chain", ovvero sequenze di istanze ed invocazioni di metodi in grado di auto-eseguirsi durante il processo di deserializzazione (cioè prima che l'oggetto venga restituito al chiamante), è talvolta possibile per gli attaccanti sfruttarle per eseguire azioni non autorizzate.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

HITVAN

Prenotare

06/06/2024

Divulgazione

20/02/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00482

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!