Vulnerabilidad en Hitachi Vantara Pentaho Business Analytics Server (CVE-2024-37359)

El servidor web recibe una URL o una solicitud similar de un componente ascendente y recupera el contenido de esta URL, pero no garantiza lo suficiente que la solicitud se envíe al destino esperado. (CWE-918) Las versiones de Hitachi Vantara Pentaho Business Analytics Server anteriores a 10.2.0.0 y 9.3.0.9, incluida la 8.3.x, no validan el encabezado Host de las solicitudes HTTP/HTTPS entrantes. Al proporcionar URL a puertos o hosts inesperados, los atacantes pueden hacer que parezca que el servidor está enviando la solicitud, posiblemente omitiendo los controles de acceso como los firewalls que impiden que los atacantes accedan a las URL directamente. El servidor se puede utilizar como proxy para realizar escaneos de puertos de hosts en redes internas, utilizar otras URL como las que pueden acceder a documentos en el sistema (utilizando file://) o utilizar otros protocolos como gopher:// o tftp://, que pueden proporcionar un mayor control sobre el contenido de las solicitudes.