发布日期：2023-04-03
更新日期：2023-04-13

受影响系统：

Hitachi Vantara Pentaho Business Analytics Server < 9.4.0.1
Hitachi Vantara Pentaho Business Analytics Server < 9.3.0.2
Hitachi Vantara Pentaho Business Analytics Server 8.3.x

描述：

---

CVE(CAN) ID: CVE-2022-43938

Hitachi Vantara Pentaho Business Analytics Server是日本日立制作所（Hitachi）公司的一个现代数据混合、集成和业务分析平台。
Hitachi Vantara Pentaho Business Analytics Server 9.4.0.1之前版本、9.3.0.2之前版本和8.3.x版本存在代码注入漏洞，该漏洞源于不允许系统管理员通过JVM脚本管理器禁用脚本功能，攻击者可利用该漏洞进行代码注入。

<*来源：Dan Begey
  
  链接：https://support.pentaho.com/hc/en-us/articles/14454630725645--Resolved-Pentaho-BA-Server-Improper-Ne
*>

建议：

---

厂商补丁：

Hitachi
-------
Hitachi已经为此发布了一个安全公告（CVE-2022-43938）以及相应补丁:
CVE-2022-43938：(Resolved) Pentaho BA Server - Improper Neutralization of Directives in Statically Saved Code ('Static Code Injection')  – Versions before 9.4.0.1 and 9.3.0.2, including 8.3.x Impacted (CVE-2022-43938)
链接：https://support.pentaho.com/hc/en-us/articles/14454630725645--Resolved-Pentaho-BA-Server-Improper-Neutralization-of-Directives-in-Statically-Saved-Code-Static-Code-Injection-Versions-before-9-4-0-1-and-9-3-0-2-including-8-3-x-Impacted-CVE-2022-43938-

浏览次数：346
严重程度：0（网友投票）