Pentaho Business Analytics (BA) Server

Die Schwachstelle betrifft den Pentaho Business Analytics (BA) Server von Hitachi Vantara, eine Plattform für Datenanalyse und Berichtswesen. Der Server trifft seine Zugriffsentscheidungen anhand des angefragten URL-Pfads, verlässt sich dabei aber auf eine nicht-kanonische, also nicht eindeutig normalisierte Form dieser Pfade. Ein Angreifer kann eine geschützte Ressource über einen abweichend geschriebenen, aber gleichwertigen Pfad ansprechen, sodass die hinterlegten Sicherheitsbeschränkungen nicht greifen. Auf diese Weise lässt sich die Autorisierungsprüfung umgehen und der Zugriff auf Bereiche oder Funktionen erlangen, die eigentlich gesperrt sein müssten. Der Kern des Problems liegt darin, dass für die Berechtigungsentscheidung und für die tatsächliche Verarbeitung unterschiedliche Interpretationen desselben Pfads verwendet werden. Betroffen sind Organisationen, die den Pentaho BA Server für ihre Auswertungen einsetzen, da die Schutzmechanismen gezielt ausgehebelt werden können.