CVE-2025-24910

Nome do Software Vulnerável e Versões Afetadas Hitachi Vantara Pentaho Business Analytics Server versões anteriores à 10.2.0.2 Hitachi Vantara Pentaho Business Analytics Server versões 9.3.x Hitachi Vantara Pentaho Business Analytics Server versões 8.3.x

Descrição O problema refere-se a Referências Externas de Entidade XML, onde a Definição de Tipo de Documento (DTD) de um documento XML pode definir entidades utilizando substituições de URI. Isso permite que um atacante envie um arquivo XML que define uma entidade externa com uma URI file://, fazendo com que a aplicação de processamento leia o conteúdo de arquivos locais. Os atacantes também podem usar URIs com outros esquemas, como http://, para forçar a aplicação a realizar solicitações de saída para servidores, potencialmente contornando restrições de firewall ou ocultando a origem de ataques, como varredura de portas.

Recomendações Para as versões do Hitachi Vantara Pentaho Business Analytics Server anteriores à 10.2.0.2, atualize para a versão 10.2.0.2 ou posterior para resolver o problema. Para as versões 9.3.x e 8.3.x do Hitachi Vantara Pentaho Business Analytics Server, atualize para a versão 10.2.0.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao Pentaho Data Integration MessageSourceCrawler para minimizar o risco de exploração.