CVE-2022-43939

Hitachi Vantara Pentaho Business Analytics (BA) Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-03-03

Официальное описание

Hitachi Vantara Pentaho BA Server contains a use of non-canonical URL paths for authorization decisions vulnerability that enables an attacker to bypass authorization.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-43939 представляет собой критическую уязвимость обхода авторизации (Authorization Bypass), возникающую из-за некорректной обработки путей URL (non-canonical URL paths). В Pentaho BA Server механизмы проверки прав доступа полагаются на строковое сопоставление запрашиваемого пути.

Злоумышленник может использовать специальные последовательности символов в URL (например, ..;/, // или специфическую кодировку), чтобы запутать фильтры безопасности. В результате сервер безопасности (Spring Security) может интерпретировать путь как разрешенный для неавторизованного доступа, в то время как внутренний сервлет Pentaho нормализует этот путь и предоставит доступ к защищенному административному ресурсу или API без аутентификации.

Как исправить

Основным и рекомендуемым способом устранения является обновление Pentaho Business Analytics до версий, где логика нормализации путей была исправлена.

  1. Определите текущую версию продукта. Уязвимость затрагивает версии до 9.3.0.0 и 8.3.0.24 включительно.
  2. Скачайте соответствующий Service Pack или новую версию дистрибутива с портала поддержки Hitachi Vantara.
  3. Обновите сервер до одной из следующих версий (или более новых):
  4. Pentaho BA Server 9.4.0.0+
  5. Pentaho BA Server 9.3.0.1+
  6. Pentaho BA Server 8.3.0.25+

Для применения обновления выполните остановку сервера, замену библиотек (согласно документации к патчу) и очистку кэша:

./stop-pentaho.sh


rm -rf tomcat/temp/*


rm -rf tomcat/work/*


./start-pentaho.sh

Временные меры

Если немедленное обновление невозможно, необходимо ограничить возможность эксплуатации на уровне сетевого периметра или конфигурации контейнера сервлетов:

  1. Настройка Web Application Firewall (WAF): Настройте правила WAF для блокировки запросов, содержащих подозрительные последовательности в URL, такие как:
  2. ..;
  3. ; (Matrix parameters)
  4. Двойные слеши //

  5. %2e%2e

  6. Ограничение доступа на уровне Reverse Proxy (Nginx/Apache): Если Pentaho работает за прокси-сервером, добавьте строгую нормализацию путей. Пример для Nginx (запрет путей с точкой с запятой):

if ($request_uri ~* ";") { return 403; }
  1. Сетевая сегментация: Ограничьте доступ к административному интерфейсу Pentaho (обычно порт 8080) только для доверенных IP-адресов или через VPN, чтобы минимизировать риск атаки из внешних сетей.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей