CVE-2024-37361 (CVSS 9.9): Critical Vulnerability in Pentaho Business Analytics Server
2025/02/22 SecurityOnline — Hitachi Vantara が公表したのは、Pentaho Business Analytics Server の脆弱性 CVE-2024-37361 (CVSS:9.9) に対処する、セキュリティ・アドバイザリの発行である。この脆弱性の深刻度は高く、重大な影響を及ぼす可能性があることを示している。
この脆弱性 CVE-2024-37361 は、Pentaho Business Analytics Server における信頼できないデータのデシリアライズに関係するものだ。つまり、このアプリケーションは信頼できない JSON データをデシリアライズするが、その結果として得られるデータの有効性について十分に検証していない。この検証の欠如を悪用する攻撃者は、 “Gadget Chains” と呼ばれるシーケンスを介して、不正なアクションを実行できる。具体的に言うと、デシリアライズ・プロセス中に自動的に実行される、インスタンスとメソッド呼び出しのシーケンスが悪用されることになる。
この脆弱性が影響を及ぼす範囲は、Hitachi Vantara Pentaho Business Analytics Server のバージョン 10.2.0.0 未満/9.3.0.9 未満であり、8.3.x も含まれる。
この脆弱性の悪用に成功した攻撃者は、影響を受けるサーバ上で任意のコード実行を達成し、システムの完全な侵害を引き起こすとされる。
一時的な緩和策として、Hitachi Vantara が推奨するのは、対象となるソフトウェア・インストールから Pentaho Interactive Reporting プラグインを削除することだ。
ただし、この脆弱性を完全に解決するために推奨されるのは、最新の Hitachi Vantara Pentaho 10.2 へのアップグレードであり、バージョン 9.3 の場合には Service Pack 9.3.0.9 以降のインストールとなる。これらのアップデートでは、以下のセキュリティ上の欠陥も修正される:
- CVE-2024-37360:クロス・サイト・スクリプティング
- CVE-2024-37362:安全が確保されない方式での認証資格情報の送信
- CVE-2024-37363:認証バイパス
前述のとおり、Hitachi Vantara Pentaho Business Analytics Server を使用している組織は、潜在的な攻撃からシステムを保護するために、このアップデートを優先して適用する必要がある。
Pentaho Business Analytics の4件の脆弱性が FIX しました。CVE-2024-37361 に関しては、CVSS 値 9.9 と評価されています。ご利用のチームは、アップデートを忘れないよう、お気をつけください。なお、関連する直近のトピックは、2024/12/18 の「Hitachi の深刻な脆弱性 CVE-2024-10205 がFIX:IT インフラ管理に認証バイパスの恐れ」となります。よろしければ、Hitachi Vantara で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.