2025年3月4日,网上更新披露了Pentaho BA 服务器使用的非规范的网址的路径进行授权漏洞(CVE-2022-43939)。
漏洞描述:Hitachi Vantara Pentaho BA Server 包含使用非规范 URL 路径进行授权决策的漏洞,使攻击者能够绕过授权。
影响范围:
Hitachi Vantara Pentaho Business Analytics Server <9.4.0.1
Hitachi Vantara Pentaho Business Analytics Server <9.3.0.2
风险等级:高危
修复方案:
官方建议用户尽快升级软件,同时更改管理员密码、轮换技术员账户密码,并限制服务器登录IP范围,以防范潜在攻击。
进行安全更新方法:
https://support.pentaho.com/hc/en-us/articles/14455394120333--Resolved-Pentaho-BA-Server-Use-of-Non-Canonical-URL-Paths-for-Authorization-Decisions-Versions-before-9-4-0-1-and-9-3-0-2-including-8-3-x-Impacted-CVE-2022-43939-
