CVE-2025-24909

Nome do Software Vulnerável e Versões Afetadas Hitachi Vantara Pentaho Business Analytics Server versões anteriores a 10.2.0.2 Hitachi Vantara Pentaho Business Analytics Server versões 9.3.x Hitachi Vantara Pentaho Business Analytics Server versões 8.3.x

Descrição O software não neutraliza ou neutraliza incorretamente a entrada controlável pelo usuário antes de inseri-la na saída utilizada como uma página web servida a outros usuários. Isso permite que uma URL maliciosa injete conteúdo na interface do plugin Analyzer, permitindo que um atacante realize atividades maliciosas. O atacante poderia transferir informações privadas, como cookies que podem incluir informações de sessão, da máquina da vítima para o atacante. O atacante poderia enviar solicitações maliciosas para um site em nome da vítima.

Recomendações Para versões anteriores a 10.2.0.2, atualize para a versão 10.2.0.2 ou posterior para resolver o problema. Para as versões 9.3.x e 8.3.x, atualize para a versão 10.2.0.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à interface do plugin Analyzer até que um patch esteja disponível. Evite o uso de URLs maliciosas para prevenir a injeção de conteúdo na interface do plugin Analyzer.