一、 漏洞 CVE-2024-5706 基础信息
漏洞标题
日立Vantara Pentaho数据集成与分析-资源标识符控制不当(“资源注入”)
来源:AIGC 神龙大模型
漏洞描述信息
产品从上游组件接收输入,但在将其用作可能超出预期控制范围的资源标识符之前,没有限制或错误地限制了该输入。(CWE-99)
Hitachi Vantara Pentaho 数据集成及分析版本在 10.2.0.0 和 9.3.0.9 之前(包括 8.3.x 版本)在创建社区仪表板时没有对 JNDI 标识符进行限制,允许控制系统级数据源。
攻击者可能获取或修改敏感数据或系统资源,这可能导致未经授权的用户访问受保护的文件或目录,包括配置文件和包含敏感信息的文件,从而引发远程代码执行。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
输出中的特殊元素转义处理不恰当(注入)
来源:AIGC 神龙大模型
漏洞标题
Hitachi Vantara Pentaho Data Integration & Analytics - Improper Control of Resource Identifiers ('Resource Injection')
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The product receives input from an upstream component, but it does not restrict or incorrectly restricts the input before it is used as an identifier for a resource that may be outside the intended sphere of control. (CWE-99)
Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.0 and 9.3.0.9, including 8.3.x, do not restrict JNDI identifiers during the creation of Community Dashboards, allowing control of system-level data sources.
An attacker could gain access to or modify sensitive data or system resources. This could allow access to protected files or directories including configuration files and files containing sensitive information, which can lead to remote code execution by unauthorized users.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
对资源描述符的控制不恰当(资源注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2024-5706 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-5706 的情报信息
-
标题: (Resolved) Hitachi Vantara Pentaho Data Integration & Analytics - Improper Control of Resource Identifiers ('Resource Injection') - Versions before 10.2.0.0 and 9.3.0.9, including 8.3.x Impacted (CVE-2024-5706) – Pentaho Customer Portal -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-5706