CVE-2022-43769 — 神龙十问 AI 深度分析摘要

🚨 **本质**：服务器端模板注入 (SSTI) 导致代码注入。 💥 **后果**：攻击者可远程执行任意代码，完全控制服务器。

🔍 **CWE**：CWE-74 (外部控制元数据注入)。 🐛 **缺陷**：Web 服务允许设置包含 **Spring 模板** 的属性值，且下游未正确转义直接解释执行。

🏢 **厂商**：Hitachi Vantara。 📦 **产品**：Pentaho Business Analytics Server。 📉 **版本**：9.4.0.1 及 9.3.0.2 之前的所有版本（含 8.3.x 系列）。

👮 **权限**：无需认证即可执行恶意操作。 📂 **数据**：可获取敏感信息、修改数据、执行恶意软件。 ⚡ **能力**：完全远程代码执行 (RCE)。

🔓 **认证**：低。描述指出“无需输入必要凭据”即可执行。 🌐 **网络**：网络可访问 (AV:N)。 🎯 **复杂度**：低 (AC:L)。

💻 **PoC**：有。ProjectDiscovery Nuclei 模板已提供。 🌍 **在野**：数据未明确提及在野利用，但 CVSS 评分极高，风险极大。

🔎 **扫描**：使用 Nuclei 模板 `http/cves/2022/CVE-2022-43769.yaml` 进行检测。 🕵️ **特征**：针对 Pentaho BA Server 的特定 Web 服务接口发送含 Spring 模板的 Payload。

🛡️ **补丁**：官方已发布修复。 ✅ **版本**：升级至 **9.4.0.1** 或 **9.3.0.2** 及以上版本。

⚠️ **临时规避**：若无法立即升级，应严格限制对 Pentaho 服务的网络访问，实施最小权限原则，并监控异常模板注入请求。

🔥 **优先级**：极高 (CVSS 9.8)。 🚀 **建议**：立即升级或应用缓解措施，这是高危 RCE 漏洞，需紧急处置。