Pentaho Business Analytics (BA) Server

Die Schwachstelle betrifft den Pentaho Business Analytics (BA) Server von Hitachi Vantara, eine Plattform zur Datenauswertung und Berichterstellung. Der Defekt liegt darin, dass bestimmte Webdienste des Servers das Setzen von Eigenschaftswerten erlauben, ohne deren Inhalt ausreichend zu prüfen. Ein Angreifer kann auf diesem Weg sogenannte Spring-Templates – Vorlagenausdrücke des zugrunde liegenden Spring-Frameworks – in Eigenschaftsdateien einschleusen. Diese Ausdrücke werden an späterer Stelle in der Verarbeitungskette ausgewertet und interpretiert. Dadurch lässt sich der eingeschleuste Inhalt in ausführbare Anweisungen umwandeln, sodass der Angreifer letztlich beliebige Befehle auf dem Server ausführen kann. Es handelt sich um eine Form der Code-Einschleusung, bei der ein eigentlich harmloser Konfigurationsmechanismus zweckentfremdet wird. Betroffen sind Organisationen, die den Pentaho BA Server zur Analyse und Aufbereitung ihrer Geschäftsdaten einsetzen; über die Befehlsausführung droht die vollständige Übernahme des Systems.