CRITICAL🇬🇧 English

CVE-2025-11159

Hitachi Vantara Pentaho – RCE przez podatny sterownik JDBC H2

CVSS 9.1v3.1pub. 2026-05-13upd. 2026-06-02

Wszystkie wersje Hitachi Vantara Pentaho Data Integration & Analytics zawierają sterownik JDBC do baz danych H2, który umożliwia wykonanie zewnętrznych skryptów podczas tworzenia nowego połączenia z administratora źródła danych. Podatność jest krytyczna, ponieważ może prowadzić do zdalnego wykonania kodu (RCE) po stronie serwera.

Pokaż oryginał (EN)

Hitachi Vantara Pentaho Data Integration & Analytics of all versions contain a JDBC driver for H2 databases which is vulnerable to external script execution when a new connection is created by a data source administrator.

🤖 Analiza AI
Jak działa

Podczas tworzenia nowego połączenia z bazą danych H2 przez administratora źródła danych, wbudowany sterownik JDBC przetwarza parametry połączenia w sposób, który pozwala na uruchomienie zewnętrznych skryptów. Atakujący z uprawnieniami administratora źródła danych może skonstruować złośliwy ciąg połączenia JDBC, który wywoła wykonanie arbitralnego kodu lub skryptu po stronie serwera. Podatność ma zasięg wykraczający poza komponent (Scope: Changed), co oznacza, że skutki mogą objąć zasoby poza bezpośrednim środowiskiem aplikacji.

Skutki

Atakujący posiadający uprawnienia administratora źródła danych może doprowadzić do pełnego naruszenia poufności, integralności i dostępności systemu, w tym do zdalnego wykonania kodu (RCE) na serwerze hostującym aplikację.

Mitygacja

Należy zaktualizować oprogramowanie do wersji 10.2.0.7 lub 11.0.0.0 zgodnie z informacją producenta dostępną pod adresem wskazanym w referencjach. Dodatkowo zaleca się ograniczenie dostępu do funkcji zarządzania źródłami danych wyłącznie do zaufanych i zweryfikowanych administratorów.

Kogo dotyczy

Hitachi Vantara Pentaho Data Integration & Analytics – wszystkie wersje przed 10.2.0.7 oraz przed 11.0.0.0

Uwagi

Zgodnie z referencją producenta podatność została naprawiona w wersjach przed 10.2.0.7 oraz 11.0.0.0. Podatność wymaga uprawnień administratora (PR:H), co ogranicza powierzchnię ataku, jednak zakres oddziaływania wykracza poza aplikację (S:C).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Hitachi Vantara Pentaho Data Integration And Analytics

    APP
    Hitachi
    < 10.2.0.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-11158CRITICAL9.1PL ✓ten sam produkt

RCE przez brak restrykcji skryptów Groovy w raportach PRPT — Pentaho

CVE-2026-2253HIGH7.7ten sam produkt

Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.7 and 11.0.0.0, including 9.3.x an...

CVE-2026-2254MEDIUM6.3ten sam produkt

Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.6 and 11.0.0.0, including 9.3.x an...

CVE-2026-2255MEDIUM4.3ten sam produkt

Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.6 and 11.0.0.0, including 9.3.x an...

CVE-2023-5617MEDIUM5.3ten sam produkt

Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.1.0.0 and 9.3.0.6, including 9.5.x an...