Hitachi Vantara修補Pentaho資料整合與分析平臺重大漏洞,未更新可能導致遠端執行程式碼攻擊
漏洞概述
Hitachi Vantara近日發布資安公告,修補旗下Pentaho Data Integration & Analytics產品的第三方元件重大漏洞,特別是針對「未經信任的資料反序列化」(Deserialization of Untrusted Data)漏洞,其CVE編號為CVE-2025-53770。
攻擊風險
未經身分鑑別之遠端攻擊者可利用此漏洞執行任意程式碼,成功利用後可能獲得系統核心權限,並訪問未經授權的資料,造成嚴重資料外洩與系統被控風險。
修補建議
- 建議用戶儘速更新至最新版本,以修補此重大漏洞。
- 系統管理者應限制對Pentaho平臺的資料解析與執行權限,並加強監控異常行為。
- 建議啟用防禦機制,如Web應用程式防火牆(WAF),以阻擋惡意JSON資料的傳輸。
相關資訊來源
【漏洞預警】Hitachi Vantara Pentaho未經信任的數據反序列化漏洞