CVE-2021-45448 in Business Analytics Server
Сводка
по VulDB • 20.06.2026
В сервере бизнес-аналитики Pentaho Business Analytics Server версий младше 9.2.0.2 и 8.3.0.25, использующем плагин Pentaho Analyzer, экспонируется конечная точка сервиса для шаблонов, которая позволяет использовать предоставленный пользователем путь для доступа к ресурсам за пределами допустимой области. Программное обеспечение использует внешний ввод для формирования пути к файлу или директории, который должен указывать на объект, расположенный внутри ограниченной родительской директории; однако программное обеспечение не обеспечивает надлежащей нейтрализации специальных элементов в составе пути, что может привести к разрешению пути в местоположение вне пределов ограниченной директории. Используя специальные элементы, такие как ".." и разделители "/", злоумышленники могут выйти за пределы ограниченного расположения для доступа к файлам или директориям, расположенным в других местах системы.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.