Security Advisory

Pentaho DI Authenticated Remote Code Execution

Angreifer mit einem Benutzerkonto können aufgrund unsicherer JSON Deserialisierung eigenen Code ausführen.

Advisory ID: MLSA-2024-004
CVE: CVE-2024-37361
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Kritikalität: high
Betroffene Versionen: ≤ 10.1.0.0-317
Behoben in: 10.2
Gefunden von: Timo Müller

Produktbeschreibung (englisch)

More than just ETL (Extract, Transform, Load), Pentaho Data Integration is a codeless data orchestration tool that blends diverse data sets into a single source of truth as a basis for analysis and reporting. Effortlessly managed in a drag-and-drop graphical interface, so you can easily track where it’s coming from, where it’s going and how it’s transforming.

Details

Pentaho stellt zwei API-Endpunkte zur Verfügung, die für die Generierung von “Adhoc-Berichten” zuständig sind. Diese Endpunkte akzeptieren sowohl HTTP POST- als auch GET-Anfragen und sind über die folgenden Pfade erreichbar:

  • /pentaho/api/repos/pentaho-interactive-reporting/iadhocasync
  • /pentaho/api/repos/pentaho-interactive-reporting/iadhoc

Wenn ein Export gestartet wird, versucht die Anwendung, das vom Benutzer im Parameter json übergebene JSON-Objekt zu deserialisieren. Die Deserialisierung wird mit der Bibliothek Flexjson durchgeführt, Angreifern ermöglicht, beliebige Klassen mit einem parameterlosen Konstruktor zu instanziieren.

Die Anwendung versucht, erlaubte Klassen zu filtern. Dieser Filter wird jedoch nur auf der Stammebene des JSON-Objekts angewendet, eine rekursive Prüfung aller Unterobjekte des JSON-Objekts findet nicht statt. Dies erlaubt es Angreifern, ein verschachteltes bösartiges JSON-Objekt anzugeben, das bei der Deserialisierung zur Ausführung von beliebigen Code verwendet werden kann.

Die betroffenen Endpunkte können von jedem authentifizierten Benutzer aufgerufen werden.

Workarounds

Keine

Coordinated Disclosure Zeitverlauf

  • 12/03/2024 Kontaktaufname zu HIRT, Bereitstellung der Schwachstellenbeschreibung.
  • 13/03/2024 HIRT leitet den Report an das zuständige Security Team bei Vantara weiter.
  • 13/04/2024 MOGWAI LABS frägt nach einem Status Update.
  • 06/06/2024 MOGWAI LABS fragt erneut nach einem Status Update, Anmerkung der 90 Tage Disclosure Policy.
  • 07/06/2024 Antwort von Hitachi, das Update soll Mitte Juli veröffentlicht werden, Bereitstellung der CVE.
  • 07/06/2024 Bestätigung von MOGWAI LABS, das Advisory wird nach dem Update veröffentlicht.
  • 16/07/2024 Mail von Hitachi, das Release der neuen Version wurde in die zweite Augusthälfte verschoben.
  • 22/07/2024 Bestätigung von MOGWAI LABS, die Veröffentlichung des Advisories wird ein zweites Mal verschoben.
  • 15/08/2024 Release of Pentaho 10.2.
  • 19/08/2024 Veröffentlichung des Advisories.