CVE-2025-24908

Nome do Software Vulnerável e Versões Afetadas Hitachi Vantara Pentaho Data Integration & Analytics versões anteriores a 10.2.0.2 Hitachi Vantara Pentaho Data Integration & Analytics versões 9.3.x Hitachi Vantara Pentaho Data Integration & Analytics versões 8.3.x

Descrição O produto utiliza entrada externa para construir um caminho de arquivo que deveria estar dentro de um diretório restrito, mas não neutraliza corretamente as sequências '.../...//' (barra dupla de três pontos) que podem resolver para um local fora desse diretório. Isso permite que atacantes percorram o sistema de arquivos para acessar arquivos ou diretórios que estão fora do diretório restrito.

Recomendações Para versões anteriores a 10.2.0.2, atualize para a versão 10.2.0.2 ou posterior para resolver o problema. Para versões 9.3.x, atualize para a versão 10.2.0.2 ou posterior para resolver o problema. Para versões 8.3.x, atualize para a versão 10.2.0.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao serviço UploadFile até que uma correção esteja disponível.