CVE-2025-24911

Nome do Software Vulnerável e Versões Afetadas Hitachi Vantara Pentaho Business Analytics Server versões anteriores à 10.2.0.2 Hitachi Vantara Pentaho Business Analytics Server versões 9.3.x Hitachi Vantara Pentaho Business Analytics Server versões 8.3.x

Descrição O problema diz respeito a documentos XML que contêm uma Definição de Tipo de Documento (DTD), permitindo a definição de entidades XML. Uma entidade pode ser definida fornecendo uma string de substituição na forma de um URI. Uma vez que o conteúdo do URI é lido, ele é realimentado na aplicação que processa o XML, potencialmente expondo o conteúdo de arquivos. Ao enviar um arquivo XML que define uma entidade externa com um URI file://, um atacante pode fazer com que a aplicação de processamento leia o conteúdo de um arquivo local. Utilizando URIs com outros esquemas, como http://, o atacante pode forçar a aplicação a fazer solicitações de saída para servidores que o atacante não consegue alcançar diretamente, o que pode ser usado para contornar restrições de firewall ou ocultar a fonte dos ataques.

Recomendações Para o Hitachi Vantara Pentaho Business Analytics Server versões anteriores à 10.2.0.2, atualize para a versão 10.2.0.2 ou posterior para resolver o problema. Para o Hitachi Vantara Pentaho Business Analytics Server versões 9.3.x e 8.3.x, atualize para a versão 10.2.0.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao Data Access XMLParserFactoryProducer para minimizar o risco de exploração.