Se detectó una vulnerabilidad que afecta a las versiones de 4.8 hasta la 5.2. Permite que queden expuestos algunos archivos, incluidos los que tienen las contraseñas de la base de datos.
La solución publicada por Pentaho es sencilla, se explica en https://support.pentaho.com/entries/78884125-Security-Vulnerability-Announcement-Feb-2015 .
Por si no se entiende la documentación en el link anterior, aclaro: si están siguiendo nuesras recomendaciones de versiones y directorios, sería copiar _SPA9_bi-platform-web-servlet-4.8.3.4-patch.jar en /usr/local/pentaho/biserver-ce/tomcat/webapps/pentaho/WEB-INF/lib/ y luego reiniciar. Como siempre, recomendamos hacer un backup previamente.