Hitachi Vantara Pentaho Business Analytics Server – Server Side Request Forgery

Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om de Host header te manipuleren en zo requests naar onbedoelde bestemmingen te sturen. Dit kan leiden tot het omzeilen van firewalls en andere beveiligingsmaatregelen die gebaseerd zijn op de Host header. Een succesvolle exploitatie kan resulteren in ongeautoriseerde toegang tot gevoelige gegevens of systemen binnen de Pentaho Business Analytics Server omgeving. Het is vergelijkbaar met scenario's waarbij een aanvaller een webserver kan misleiden om requests naar een kwaadaardige server te sturen, waardoor potentieel gevoelige informatie wordt blootgesteld of de server wordt gecompromitteerd. De impact kan aanzienlijk zijn, vooral in omgevingen waar Pentaho Business Analytics Server wordt gebruikt voor het verwerken en analyseren van gevoelige bedrijfsinformatie.

Organizations using Pentaho Business Analytics Server in environments with strict network segmentation or firewalls are particularly at risk. Legacy configurations that rely heavily on Host header validation for access control are also vulnerable. Shared hosting environments where multiple tenants share the same server infrastructure should be carefully assessed.

• linux / server: Use tcpdump or wireshark to monitor HTTP/HTTPS traffic and identify requests with unusual or unexpected Host headers. Examine access logs for patterns indicating Host header manipulation attempts.

ttcpdump -i any -A 'host header contains "malicious.example.com"'

• generic web: Use curl to test endpoint exposure with different Host headers. Check response headers for unexpected behavior.

curl -H "Host: malicious.example.com" https://your-pentaho-server/your-endpoint

1. 2025-02-19Disclosure

   disclosure

1. Gereserveerd2024-06-06
2. Gepubliceerd2025-02-19
3. Gewijzigd2025-02-20
4. EPSS bijgewerkt2026-04-02

De primaire mitigatie voor CVE-2024-37359 is het upgraden van Pentaho Business Analytics Server naar versie 9.3.0.9 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy die de Host header valideert en manipulaties blokkeert. Configureer de WAF om requests met onverwachte of onjuiste Host headers te blokkeren. Controleer ook de configuratie van de Pentaho Business Analytics Server om er zeker van te zijn dat er geen onnodige toegangspunten zijn die misbruikt kunnen worden. Na de upgrade, verifieer de fix door een request te sturen met een gemanipuleerde Host header en controleer of deze wordt afgewezen.