ページの本文へ

Hitachi
デジタルデジタル お問い合わせお問い合わせ

Hitachi Incident Response Team

hitachi-sec-2021-603:Hitachi Vantara Pentaho Business Analytics Serverに複数の脆弱性

更新日: 2021年11月11日

1. 概要

Hitachi Vantara Pentaho Business Analytics Serverには複数の脆弱性が存在します。

CVE-2021-31599: Pentahoレポートバンドルにおける任意のコード実行を許してしまう脆弱性
Hitachi Vantara Pentaho Business Analytics Server バージョン9.2.0.0、9.1.0.8、および8.3.0.23より前には、認証されたユーザに任意のコード実行を許してしまう問題が存在します。この問題は、レポート(.prpt)ファイルでBeanShellスクリプトを使用できることに起因します。

CVSS:2.0 AV:N/AC:L/Au:S/C:C/I:C/A:C [9.0]
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H [8.8]
CWE-96: Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection')

CVE-2021-34684: SQLインジェクションの脆弱性
Hitachi Vantara Pentaho Business Analytics Server バージョン9.2.0.0、9.1.0.8、および8.3.0.23より前には、認証操作なしで関連するデータベースからの情報漏洩を許してしまう問題が存在します。この問題は、api/repos/dashboards/editor URIを介して任意のSQLクエリを実行できるというSQLインジェクションの脆弱性に起因するものです。

CVSS:2.0 AV:N/AC:L/Au:N/C:C/I:C/A:C [10.0]
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H [9.8]
CWE-89: SQL Injection

CVE-2021-31601: Data Source Managementにおけるアクセス制御の不備
Hitachi Vantara Pentaho Business Analytics Server バージョン9.2.0.0、9.1.0.8、および8.3.0.23より前には、データベースコネクションに関連する情報の漏洩を許してしまう問題が存在します。この問題は、SOAPプロトコルを使用した一連のWebサービスのインターフェイス提供する際のアクセス制御が適切でないことに起因します。

CVSS:2.0 AV:N/AC:L/Au:S/C:C/I:P/A:N [7.5]
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N [7.1]
CWE-319: Cleartext Transmission of Sensitive Information

CVE-2021-31602: Spring APIにおける認証機構の迂回を許してしまう脆弱性
Hitachi Vantara Pentaho Business Analytics Server バージョン9.2.0.0、9.1.0.8、および8.3.0.23より前には、認証機構の迂回を許してしまう脆弱性が存在します。この問題は、applicationContext-spring-security.xmlファイルで設定されているapplicationContextセキュリティを利用した制御が適切でないことに起因し、認証操作なしで情報漏洩を許してしまう許してしまう可能性があります。

CVSS:2.0 AV:N/AC:L/Au:N/C:P/I:N/A:N [5.0]
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N [5.3]
CWE-285: Improper Authorization

Jackrabbitユーザ一覧の表示
CVE-2021-31600 では、Hitachi Vantara Pentaho Business Analytics Serverの問題を指摘していますが、提示された動作は製品の本来の機能であり、脆弱性ではないと判断しています。

Hitachi Vantara Pentaho Business Analytics Serverは、SOAPプロトコルを使用して一連のWebサービスを実装しています。このWebサービスの中で、認証されたユーザに対して有効なユーザ名一覧を表示する機能を提供しています。この機能は、認証されたユーザが使用できる基本的なアクセス許可サービスで、機能としての利用を想定しているものです。

CVE-2021-34685: ファイル拡張子制限の迂回を許してしまう脆弱性
Hitachi Vantara Pentaho Business Analytics Server バージョン9.2.0.2、および8.3.0.25より前には、任意のJSPコードファイルのアップロードを許してしまう問題が存在します。この問題は、適切でないアップロートファイル制限 (CWE-434) に起因し、認証されたユーザに任意のコード実行を許してしまう可能性があります。

CVSS:2.0 AV:N/AC:M/Au:S/C:N/I:P/A:N [3.5]
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N [2.7]
CWE-434: Unrestricted Upload of File with Dangerous Type

2. 影響を受けるシステム

CVE-2021-31599, CVE-2021-34684, CVE-2021-31601 and CVE-2021-31602

  • Hitachi Vantara Pentaho Business Analytics Server prior to versions 9.2.0.0, 9.1.0.8 and 8.3.0.23
    { "version": { "and": { "lessThan": "cpe:2.3:a:hitachi:vantara_pentaho:9.2.0.0" }}}
    { "version": { "and": { "lessThan": "cpe:2.3:a:hitachi:vantara_pentaho:9.1.0.8" }}}
    { "version": { "and": { "lessThan": "cpe:2.3:a:hitachi:vantara_pentaho:8.3.0.23" }}}

CVE-2021-34685

  • Hitachi Vantara Pentaho Business Analytics Server prior to versions 9.2.0.2 and 8.3.0.25
    { "version": { "and": { "lessThan": "cpe:2.3:a:hitachi:vantara_pentaho:9.2.0.2" }}}
    { "version": { "and": { "lessThan": "cpe:2.3:a:hitachi:vantara_pentaho:8.3.0.25" }}}

3. 想定される影響

これら脆弱性を悪用された場合、任意のコード実行や情報漏洩を許してしまう可能性があります。

4. 対策

対策版へのアップデートを推奨します。

5. 参考情報

5.1 脆弱性識別

5.2 関連情報

6. 更新履歴

2021年11月11日
  • このページを新規作成および公開しました。

担当:寺田、大西

グローバルサイン:
重要な電子文書にデジタル署名。広報にも役立っています

関連リンク