CRITICAL🇬🇧 English

CVE-2025-11158

RCE przez brak restrykcji skryptów Groovy w raportach PRPT — Pentaho

CVSS 9.1v3.1pub. 2026-03-10upd. 2026-05-06

Hitachi Vantara Pentaho Data Integration & Analytics nie ogranicza wykonywania skryptów Groovy osadzonych w raportach PRPT publikowanych przez użytkowników. Luka umożliwia zdalne wykonanie dowolnego kodu (RCE) na serwerze i jest oceniana jako krytyczna (CVSS 9.1).

Pokaż oryginał (EN)

Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.6, including 9.3.x and 8.3.x, do not restrict Groovy scripts in new PRPT reports published by users, allowing insertion of arbitrary scripts and leading to a RCE.

🤖 Analiza AI
Jak działa

Użytkownik posiadający dostęp do systemu może opublikować nowy raport PRPT zawierający osadzony, złośliwy skrypt Groovy. Platforma nie weryfikuje ani nie ogranicza zawartości takich skryptów przed ich wykonaniem (CWE-862: brak autoryzacji). W momencie przetworzenia raportu skrypt jest uruchamiany w kontekście serwera, co pozwala atakującemu na wykonanie dowolnych poleceń systemowych.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem, w tym odczytać i zmodyfikować poufne dane, zainstalować złośliwe oprogramowanie lub wykorzystać skompromitowany system do dalszego ataku na infrastrukturę (lateral movement). Zakres podatności obejmuje pełną poufność, integralność i dostępność systemu.

Mitygacja

Należy zaktualizować oprogramowanie do wersji 10.2.0.6 lub nowszej. Szczegóły dotyczące patcha dostępne są w oficjalnym komunikacie bezpieczeństwa producenta pod adresem wskazanym w referencjach.

Kogo dotyczy

Hitachi Vantara Pentaho Data Integration & Analytics w wersjach przed 10.2.0.6, w tym gałęzie 9.3.x oraz 8.3.x

Uwagi

Podatność wymaga posiadania przez atakującego konta użytkownika w systemie (PR:H), jednak zakres oddziaływania wykracza poza sam komponent (S:C), co uzasadnia ocenę krytyczną pomimo wymaganego uprzywilejowanego dostępu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Hitachi Vantara Pentaho Data Integration And Analytics

    APP
    Hitachi
    < 10.2.0.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-11159CRITICAL9.1PL ✓ten sam produkt

Hitachi Vantara Pentaho – RCE przez podatny sterownik JDBC H2

CVE-2026-2253HIGH7.7ten sam produkt

Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.7 and 11.0.0.0, including 9.3.x an...

CVE-2026-2254MEDIUM6.3ten sam produkt

Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.6 and 11.0.0.0, including 9.3.x an...

CVE-2026-2255MEDIUM4.3ten sam produkt

Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.6 and 11.0.0.0, including 9.3.x an...

CVE-2023-5617MEDIUM5.3ten sam produkt

Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.1.0.0 and 9.3.0.6, including 9.5.x an...