Hitachi Vantara Pentaho Business Analytics Server – Server Side Request Forgery

L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les mécanismes de sécurité tels que les pare-feu qui filtrent le trafic en fonction de la destination. En manipulant l'en-tête Host, l'attaquant peut faire croire au serveur qu'il envoie des requêtes à une destination légitime, même si ce n'est pas le cas. Cela peut permettre d'accéder à des ressources non autorisées, d'exécuter du code malveillant ou de compromettre la confidentialité des données sensibles stockées sur le serveur. Le risque est d'une perte de contrôle sur le flux de données et une exposition potentielle à des attaques plus sophistiquées.

Organizations using Pentaho Business Analytics Server in environments with strict network segmentation or firewalls are particularly at risk. Legacy configurations that rely heavily on Host header validation for access control are also vulnerable. Shared hosting environments where multiple tenants share the same server infrastructure should be carefully assessed.

• linux / server: Use tcpdump or wireshark to monitor HTTP/HTTPS traffic and identify requests with unusual or unexpected Host headers. Examine access logs for patterns indicating Host header manipulation attempts.

ttcpdump -i any -A 'host header contains "malicious.example.com"'

• generic web: Use curl to test endpoint exposure with different Host headers. Check response headers for unexpected behavior.

curl -H "Host: malicious.example.com" https://your-pentaho-server/your-endpoint

1. 2025-02-19Disclosure

   disclosure

1. Réservé2024-06-06
2. Publiée2025-02-19
3. Modifiée2025-02-20
4. EPSS mis à jour2026-04-02

La mitigation principale consiste à mettre à jour Pentaho Business Analytics Server vers la version 9.3.0.9 ou ultérieure, où la vulnérabilité est corrigée. Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à configurer le serveur web (par exemple, Apache ou Nginx) pour valider et restreindre les valeurs acceptables pour l'en-tête Host. Il est également recommandé de mettre en place un pare-feu applicatif web (WAF) pour filtrer les requêtes malveillantes. Vérifiez après la mise à jour que l'en-tête Host est correctement validé et que les requêtes suspectes sont bloquées.