CVE-2025-24907

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-24907
Overview   The product uses external input to construct a pathname that should be within a restricted directory, but it does not properly neutralize '.../...//' (doubled triple dot slash) sequences that can resolve to a location that is outside of that directory. (CWE-35)   Description   Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.2, including 9.3.x and 8.3.x, do not sanitize a user input used as a file path through the CGG Draw API.   Impact   This allows attackers to traverse the file system to access files or directories that are outside of the restricted directory.

6.8 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.3 / Impact : 4.0

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required HIGH

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact HIGH

Availability Impact NONE

Scope CHANGED

References
Link Resource
https://support.pentaho.com/hc/en-us/articles/35781624069005--Resolved-Hitachi-Vantara-Pentaho-Data-Integration-Analytics-Path-Traversal-Versions-before-10-2-0-2-including-9-3-x-Impacted-CVE-2025-24907
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) Descripción general: El producto utiliza una entrada externa para construir una ruta de acceso que debería estar dentro de un directorio restringido, pero no neutraliza correctamente las secuencias ".../...//" (doble punto y triple barra diagonal) que pueden resolverse en una ubicación fuera de ese directorio. (CWE-35) Descripción: Las versiones de Hitachi Vantara Pentaho Data Integration & Analytics anteriores a la 10.2.0.2, incluidas las 9.3.x y 8.3.x, no sanean una entrada de usuario utilizada como ruta de archivo a través de la API CGG Draw. Impacto: Esto permite a los atacantes atravesar el sistema de archivos para acceder a archivos o directorios que están fuera del directorio restringido.

16 Apr 2025, 23:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-04-16 23:15

Updated : 2026-04-15 00:35

NVD link : CVE-2025-24907

Mitre link : CVE-2025-24907

CVE.ORG link : CVE-2025-24907

JSON object : View

Products Affected

No product.

CWE
CWE-35

Path Traversal: '.../...//'