CVE-2022-43769

Hitachi Vantara Pentaho Business Analytics (BA) Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-03-03

Официальное описание

Hitachi Vantara Pentaho BA Server contains a special element injection vulnerability that allows an attacker to inject Spring templates into properties files, allowing for arbitrary command execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-43769 представляет собой критическую уязвимость типа Special Element Injection в компоненте Pentaho Business Analytics (BA) Server. Проблема заключается в недостаточной фильтрации входных данных при обработке конфигурационных файлов.

Злоумышленник может внедрить выражения Spring Expression Language (SpEL) в файлы свойств (.properties). При последующей обработке этих файлов сервером, встроенные шаблоны исполняются, что приводит к удаленному выполнению произвольного кода (RCE) в контексте безопасности учетной записи, под которой запущен сервер Pentaho.

Как исправить

Основным способом устранения уязвимости является обновление Pentaho BA Server до версий, в которых была внедрена корректная валидация входных данных.

  1. Перейдите на портал поддержки Hitachi Vantara Support Portal.
  2. Скачайте и установите соответствующий Service Pack или обновленную версию продукта:
  3. Для версии 9.3: обновитесь до 9.3.0.1 или выше.
  4. Для версии 9.2: обновитесь до 9.2.0.5 или выше.

  5. Для версии 8.3: обновитесь до 8.3.0.21 или выше.

  6. Если вы используете Docker-контейнеры, обновите образ в вашем Dockerfile:

docker pull pentaho/pentaho-server:9.3.0.1
  1. После обновления очистите кэш временных файлов сервера (директории temp и work в Apache Tomcat).

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничение прав доступа к ФС: Убедитесь, что процесс Pentaho запущен от имени пользователя с минимальными привилегиями в системе. Запретите пользователю Pentaho запись в директории с конфигурационными файлами, если это не требуется для работы.
chmod 550 /opt/pentaho/server/pentaho-server/pentaho-solutions/system/*.properties

  1. Сетевая сегментация: Изолируйте сервер Pentaho во внутренней сети. Ограничьте доступ к веб-интерфейсу администрирования только для доверенных IP-адресов с помощью Firewall или Reverse Proxy (Nginx/Apache).

  2. Настройка WAF: Настройте Web Application Firewall для блокировки запросов, содержащих подозрительные конструкции SpEL (например, ${...}, T(java.lang.Runtime), .getRuntime().exec()).

  3. Мониторинг целостности файлов: Настройте аудит изменений в директории pentaho-solutions для обнаружения несанкционированной модификации .properties файлов.

auditctl -w /opt/pentaho/server/pentaho-server/pentaho-solutions/ -p wa -k pentaho_config_change
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей