Vulnerabilidad en Hitachi Vantara Pentaho Business Analytics Server (CVE-2025-24911)

Descripción general: Los documentos XML contienen opcionalmente una definición de tipo de documento (DTD), que, entre otras características, permite la definición de entidades XML. Es posible definir una entidad proporcionando una cadena de sustitución en forma de URI. Una vez leído el contenido del URI, se devuelve a la aplicación que está procesando el XML. Esta aplicación puede devolver los datos (p. ej., en un mensaje de error), exponiendo así el contenido del archivo. (CWE-611) Descripción: Las versiones de Hitachi Vantara Pentaho Business Analytics Server anteriores a la 10.2.0.2, incluidas las 9.3.x y 8.3.x, no protegen correctamente el acceso a datos XMLParserFactoryProducer contra la referencia de entidad externa XML fuera de banda. Impacto Al enviar un archivo XML que define una entidad externa con un URI file://, un atacante puede provocar que la aplicación de procesamiento lea el contenido de un archivo local. Al utilizar URI con otros esquemas como http://, el atacante puede forzar a la aplicación a realizar solicitudes salientes a servidores a los que el atacante no puede acceder directamente, lo que puede usarse para eludir las restricciones del firewall u ocultar la fuente de ataques como el escaneo de puertos.