Security Advisory
Pentaho DI Authenticated Remote Code Execution
Angreifer mit einem Benutzerkonto können aufgrund unsicherer JSON Deserialisierung eigenen Code ausführen.
CVE: CVE-2024-37361
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Kritikalität: high
Betroffene Versionen: ≤ 10.1.0.0-317
Behoben in: 10.2
Gefunden von: Timo Müller
Produktbeschreibung (englisch)
More than just ETL (Extract, Transform, Load), Pentaho Data Integration is a codeless data orchestration tool that blends diverse data sets into a single source of truth as a basis for analysis and reporting. Effortlessly managed in a drag-and-drop graphical interface, so you can easily track where it’s coming from, where it’s going and how it’s transforming.
Details
Pentaho stellt zwei API-Endpunkte zur Verfügung, die für die Generierung von “Adhoc-Berichten” zuständig sind. Diese Endpunkte akzeptieren sowohl HTTP POST- als auch GET-Anfragen und sind über die folgenden Pfade erreichbar:
- /pentaho/api/repos/pentaho-interactive-reporting/iadhocasync
- /pentaho/api/repos/pentaho-interactive-reporting/iadhoc
Wenn ein Export gestartet wird, versucht die Anwendung, das vom Benutzer im Parameter json
übergebene JSON-Objekt zu deserialisieren. Die Deserialisierung wird mit der Bibliothek Flexjson
durchgeführt, Angreifern ermöglicht, beliebige Klassen mit einem parameterlosen Konstruktor zu instanziieren.
Die Anwendung versucht, erlaubte Klassen zu filtern. Dieser Filter wird jedoch nur auf der Stammebene des JSON-Objekts angewendet, eine rekursive Prüfung aller Unterobjekte des JSON-Objekts findet nicht statt. Dies erlaubt es Angreifern, ein verschachteltes bösartiges JSON-Objekt anzugeben, das bei der Deserialisierung zur Ausführung von beliebigen Code verwendet werden kann.
Die betroffenen Endpunkte können von jedem authentifizierten Benutzer aufgerufen werden.
Workarounds
Keine
Coordinated Disclosure Zeitverlauf
- 12/03/2024 Kontaktaufname zu HIRT, Bereitstellung der Schwachstellenbeschreibung.
- 13/03/2024 HIRT leitet den Report an das zuständige Security Team bei Vantara weiter.
- 13/04/2024 MOGWAI LABS frägt nach einem Status Update.
- 06/06/2024 MOGWAI LABS fragt erneut nach einem Status Update, Anmerkung der 90 Tage Disclosure Policy.
- 07/06/2024 Antwort von Hitachi, das Update soll Mitte Juli veröffentlicht werden, Bereitstellung der CVE.
- 07/06/2024 Bestätigung von MOGWAI LABS, das Advisory wird nach dem Update veröffentlicht.
- 16/07/2024 Mail von Hitachi, das Release der neuen Version wurde in die zweite Augusthälfte verschoben.
- 22/07/2024 Bestätigung von MOGWAI LABS, die Veröffentlichung des Advisories wird ein zweites Mal verschoben.
- 15/08/2024 Release of Pentaho 10.2.
- 19/08/2024 Veröffentlichung des Advisories.