Hitachi Vantara Pentaho Business Analytics Server – 服务器端请求伪造 (Server Side Request Forgery)

该漏洞允许攻击者伪造 Host Header，从而欺骗服务器将请求发送到非预期目标。这可能导致攻击者绕过防火墙、入侵检测系统等安全措施，并访问敏感数据或执行未经授权的操作。攻击者可以利用此漏洞进行数据泄露、权限提升，甚至可能控制整个系统。类似于其他 Host Header 漏洞，该漏洞可能被用于横向移动，攻击者可以利用已攻破的系统作为跳板，进一步渗透到内部网络中。由于 Pentaho Business Analytics Server 通常用于处理敏感业务数据，因此该漏洞的潜在影响非常严重。

Organizations using Pentaho Business Analytics Server in environments with strict network segmentation or firewalls are particularly at risk. Legacy configurations that rely heavily on Host header validation for access control are also vulnerable. Shared hosting environments where multiple tenants share the same server infrastructure should be carefully assessed.

• linux / server: Use tcpdump or wireshark to monitor HTTP/HTTPS traffic and identify requests with unusual or unexpected Host headers. Examine access logs for patterns indicating Host header manipulation attempts.

ttcpdump -i any -A 'host header contains "malicious.example.com"'

• generic web: Use curl to test endpoint exposure with different Host headers. Check response headers for unexpected behavior.

curl -H "Host: malicious.example.com" https://your-pentaho-server/your-endpoint

1. 2025-02-19Disclosure

   disclosure

1. 已保留2024-06-06
2. 发布日期2025-02-19
3. 修改日期2025-02-20
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即升级至 9.3.0.9 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：在防火墙中配置规则，限制对 Pentaho Business Analytics Server 的 Host Header 访问。使用 Web 应用防火墙 (WAF) 来检测和阻止恶意的 Host Header 请求。审查服务器配置，确保 Host Header 验证已启用。如果升级导致系统不稳定，可以考虑回滚到之前的版本，并尽快安排升级。升级后，请验证 Host Header 验证是否已正确启用，并测试系统功能是否正常。